В обновлении Elcomsoft iOS Forensic Toolkit 5.21 добавлена возможность извлечения Связки ключей из ряда моделей iPhone и iPad с заблокированным экраном сразу после включения или перезагрузки. Связка ключей извлекается из совместимых устройств независимо от версии iOS. Новая возможность работает на ряде устройств (от iPhone 5s до iPhone X включительно) благодаря джейлбрейку checkra1n.
Elcomsoft iOS Forensic Toolkit 5.21 получил возможность частичного извлечения Связки ключей из ряда моделей iPhone и iPad с заблокированным экраном и неизвестным кодом блокировки. Новая возможность доступна для моделей, на которые можно установить джейлбрейк checkra1n.
Поддерживаются все устройства, собранные на платформах Apple A7, A8, A9, A10 и A11. В список входят все модели iPhone от iPhone 5s вплоть до iPhone 8, 8 Plus и iPhone X, а также iPad, собранные с использованием микросхем соответствующих поколений. Совместимые модели iPad включают все устройства от iPad mini 2 до моделей iPad 2018, iPad 10.2, iPad Pro 12.9 (1 поколения) и iPad Pro 10.5.
В новой версии EIFT частичная расшифровка Связки ключей доступна и для устройств, экран которых заблокирован, а код блокировки – неизвестен. Процедура частичного извлечения Связки ключей для заблокированных устройств и устройств, которые находятся в защитном режиме USB позволяет расшифровать ограниченное количество записей, куда могут входить данные учётных записей электронной почты и некоторые другие.
Кроме того, в iOS Forensic Toolkit 5.21 изменились имена выходных файлов. В предыдущих версиях инструментария образ файловой системы создавался в файле user.tar, а Связка ключей сохранялась в файле с именем keychaindump.tar. Эти имена файлов не были уникальны; уже извлечённый образ файловой системы и Связки ключей мог быть случайно перезаписан в процессе последующей работы.
В версии 5.21 файлы, в которых сохраняется извлечённая из iPhone информация, получили уникальные имена, состоящие из идентификатора устройства и времени создания архива. Образ файловой системы сохраняется в файле с именем UDID_timestamp.tar, а Связка ключей – в файле keychain_UDID_timestamp.xml
Список изменений: