В седьмой бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для Mac представлен новый программно-аппаратный комплекс для разблокировки и криминалистически чистого анализа ряда моделей iPhone. Первой моделью смартфона, поддерживаемой комплексом, стал iPhone 4s, планшетов – iPad 2 и 3 поколений.

Вышла седьмая бета-версия Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac, в которой представлен новый программно-аппаратный комплекс для криминалистически чистого анализа ряда моделей iPhone через эксплойт загрузчика checkm8. В качестве аппаратной платформы используется одноплатный микроконтроллер Raspberry Pi Pico, посредством которой осуществляется перевод анализируемого устройства в режим извлечения данных. Первой моделью iPhone, совместимой с новым комплексом, стал iPhone 4s, полноценная поддержка которого оказалась невозможной без использования аппаратной составляющей. Кроме того, доступна поддержка планшетов iPad 2 и 3 поколений, а в дальнейшем планируется поддержка более современных устройств, подверженных уязвимости загрузчика.

Пользователи системы получат как новую версию iOS Forensic Toolkit 8.0 beta 7, так и образ прошивки для установки в одноплатный микроконтроллер Raspberry Pi Pico.

Плата Raspberry Pi Pico необходима для перевода iPhone 4s в специальный режим, использующийся для подбора кода блокировки и извлечения данных. Использование аппаратного микроконтроллера требуется ввиду ограничений, накладываемых установленным в iPhone 4s контроллером USB. В будущих версиях iOS Forensic Toolkit использование одноплатного микроконтроллера Pico позволит упростить процесс перевода в режим извлечения данных и других устройств iPhone, для которых доступен эксплойт загрузчика.

Таким образом, в новой бета-версии iOS Forensic Toolkit 8.0 для Mac появилась поддержка подбора кода блокировки экрана и извлечения данных из iPhone 4s через эксплойт checkm8 независимо от версии iOS. Извлекаются как файловая система, включая подробный журнал активности и местоположений, так и связка ключей, в которой содержатся пароли пользователя.

Низкоуровневый доступ позволяет извлечь и такие данные, как полный журнал активности устройства, данные о физической активности пользователя, подробный список треков и геопозиций, данные приложения Wallet (брони, посадочные талоны, дисконтные карты и др.), а также связку ключей, в которой хранятся пароли пользователя и данные для входа в учётные записи.

Новый метод извлечения не требует загрузки смартфона в оригинальную версию операционной системы; никакие данные на устройстве не модифицируются. Для перевода iPhone 4s в режим извлечения данных эксперту потребуется одноплатный микроконтроллер Raspberry Pi Pico и специальная прошивка, которая входит в комплект поставки iOS Forensic Toolkit.

Важное преимущество метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

С выходом восьмой версии Elcomsoft iOS Forensic Toolkit становится самым продвинутым инструментом для извлечения данных из устройств экосистемы Apple, поддерживая все существующие способы доступа к данным.

Новое в Elcomsoft iOS Forensic Toolkit 8.0 beta 7

• checkm8: добавлена поддержка iPhone 4s
• checkm8: добавлена поддержка iPad 2 и 3
• checkm8: добавлена поддержка iPad Mini (1 поколения)
• checkm8: добавлена поддержка iPod Touch 5
• checkm8: добавлена поддержка Apple TV 3
• Улучшения журналирования, диагностики и обработки ошибок