Elcomsoft iOS Forensic Toolkit 5.0 поддерживает физический анализ устройств с iOS 12

В крупном обновлении Elcomsoft iOS Forensic Toolkit добавлена возможность физического анализа ряда моделей Apple, работающих под управлением iOS 12. Поддерживается как извлечение образа файловой системы, так и расшифровка связки ключей keychain.

Elcomsoft iOS Forensic Toolkit 5.0 получил крупное обновление, добавляющее возможность физического извлечения данных из ряда моделей Apple, работающих под управлением iOS 12 – 12.1.2. Впервые поддержка физического извлечения данных стала доступна для актуальных версий iOS спустя столь короткое время.

Для двенадцатой версии iOS поддерживается как извлечение образа файловой системы устройств, так и расшифровка связки ключей keychain, в которой содержатся сохранённые пользователем пароли от учётных записей и маркеры аутентификации. Прямой доступ к файловой системе позволяет извлекать информацию из защищённых областей данных приложений, системные журналы и журнал истории местоположения пользователя.

В новой версии iOS Forensic Toolkit разработчики отошли от использования традиционных jailbreak, которые модифицируют системный раздел устройства с целью получения низкоуровневого доступа. Для получения доступа к файловой системе устройств в iOS Forensic Toolkit 5.0 внедрена поддержка нового класса утилит для эскалации привилегий – так называемого rootless jailbreak. В отличие от традиционных утилит, rootless jailbreak не осуществляет перемонтирования файловой системы устройства и не модифицирует системный раздел. Необходимый для работы утилиты минимум данных записывается исключительно в пользовательский раздел устройства, что позволяет полностью и практически бесследно удалить утилиту после окончания процедуры извлечения данных. (Записи об использовании утилиты могут оставаться в системных журналах и лог-файлах.)

Посредством физического анализа пользователи Elcomsoft iOS Forensic Toolkit смогут расшифровать записи в связке ключей iOS keychain, зашифрованные по максимальному классу защиты. Такие записи не могут быть расшифрованы анализом резервных копий или извлечением облачной связки ключей из iCloud.

Низкоуровневый доступ к файловой системе устройства – единственный способ извлечь сообщения электронной почты и историю переписки множества программ для мгновенного обмена сообщениями. Извлекаются в том числе данные тех приложений, которые запрещают синхронизацию или сохранение своих данных в резервных копиях – например, секреты двухфакторной аутентификации в соответствующих приложениях.

Rootless jailbreak поддерживается для большинства устройств с совместимыми версиями iOS 12. В будущем ожидается поддержка оставшихся моделей. Для работы с устройствами под управлением iOS 12 до 12.1.2 необходимо обновление версии iOS Forensic Toolkit до 5.0. Дополнительная информация и ссылки на rootless jailbreak доступны в нашем блоге.

Дополнительно