В одиннадцатой бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для Mac добавлена поддержка криминалистически чистого анализа посредством эксплойта checkm8 для ряда моделей iPhone, iPad и Apple TV, работающих под управлением iOS/iPadOS/tvOS 15.6 Release Candidate. Кроме того, для часов Apple Watch добавлена поддержка watchOS 8.7 RC.

Вышла одиннадцатая бета-версия Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac, в которой добавлена поддержка криминалистически чистого анализа на основе checkm8 для ряда моделей iPhone, iPad и Apple TV, работающих под управлением предрелизной сборки ОС 15.6 RC. Поддерживаются модели устройств, в которых была обнаружена уязвимость загрузчика и для которых доступна iOS 15. В их число входят iPhone X и более старые устройства, а также планшеты iPad и приставки Apple TV, собранные с использованием аналогичных процессоров. Кроме того, поддерживаются и совместимые модели часов Apple Watch под управлением watchOS 8.7 RC.

Список совместимых моделей и версий операционных систем доступен на следующей инфографике:

Мы опубликовали подробное руководство по переводу приставок Apple TV в режим DFU и использованию checkm8 для извлечения данных.

Elcomsoft iOS Forensic Toolkit – единственное решение, позволяющее извлечь образ файловой системы и связку ключей из приставок Apple TV. С учётом того, что приставки Apple TV – единственные устройства Apple, на которых не может быть установлен код блокировки, доступность для них нового метода криминалистического анализа открывает доступ к ранее недоступным цифровым уликам.

Обратите внимание: для установки эксплойта checkm8 необходимо скачать образ ОС с сайта Apple. iOS/iPadOS/tvOS 15.6 RC является предварительной сборкой системы; сборки в статусе Release Candidate не доступны в публичном доступе, а для их скачивания потребуется учётная запись Apple для разработчика (в том числе бесплатная).

Низкоуровневый доступ к устройству позволяет извлечь такие данные, как полный системный журнал устройства, данные о физической активности пользователя, подробный список треков и геопозиций, данные приложения Wallet (брони, посадочные талоны, дисконтные карты и др.), а также связку ключей, в которой хранятся пароли пользователя и данные для входа в учётные записи.

Разработанный нами метод извлечения не требует загрузки смартфона или планшета в оригинальную версию операционной системы; никакие данные на устройстве не модифицируются. Важное преимущество метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Новое в Elcomsoft iOS Forensic Toolkit 8.0 beta 11

• checkm8: исправлена поддержка Apple TV 4 и 4K
• checkm8: добавлена поддержка iOS 15.6 RC (файловая система, связка ключей)
• checkm8: добавлена поддержка iPadOS 15.6 RC (файловая система, связка ключей)
• checkm8: добавлена поддержка tvOS 15.6 RC (файловая система, связка ключей)
• checkm8: добавлена поддержка watchOS 8.7 RC (файловая система, связка ключей)
• Исправления ошибок и улучшение стабильности работы checkm8