В Elcomsoft iOS Forensic Toolkit 8.10 для Mac добавлена поддержка криминалистически чистого извлечения посредством эксплойта checkm8 для ряда моделей iPhone, iPad и Apple TV, работающих под управлением iOS/iPadOS/tvOS 16.2. Кроме того, в версии 7.70 для Windows вновь заработал механизм установки агента-экстрактора.
Вышло первое крупное обновление Elcomsoft iOS Forensic Toolkit 8.10 для компьютеров Mac. В новой версии продукта поддержка криминалистически чистого извлечения полного образа файловой системы с использованием эксплойта checkm8 для ряда моделей iPhone, iPad и Apple TV, работающих под управлением iOS, iPadOS или tvOS 16.2. Поддерживаются модели устройств, в которых была обнаружена уязвимость загрузчика и для которых доступна iOS 16. В их число входят iPhone X и более старые устройства, а также планшеты iPad и приставки Apple TV, собранные с использованием аналогичных процессоров.
Для моделей iPhone 8, 8 Plus и iPhone X действует ограничение: извлечение данных посредством checkm8 возможно только в случае, если на устройстве не только нет кода блокировки экрана, но и не было с момента начальной настройки. На планшеты iPad это ограничение не распространяется.
В новой сборке улучшена работа агента-экстрактора, который получил экспериментальную поддержку версий iOS вплоть до 15.5 включительно. Поддержка работает на устройствах, построенных на процессорах поколений A12 и более новых; для более старых устройств (A11 и старше) поддерживается извлечение посредством checkm8. Для работы с iOS/iPadOS 15.5 используется новый, достаточно сложный эксплойт, стабильная работа которого не гарантируется. Мы работаем над улучшением стабильности работы экстрактора с данной версией ОС.
Кроме того, мы обновили и седьмую версию продукта. В отличие от Elcomsoft iOS Forensic Toolkit 8, который существует только в редакции для компьютеров Mac, седьмая версия продукта доступна в редакциях как для macOS, так и для Windows. В редакции для Windows мы изменили механизм цифровой подписи агента-экстрактора, в котором теперь используются обычные пароли от Apple ID, а не пароль приложения. Новый механизм цифровой подписи устраняет проблему с установкой агента-экстрактора на устройства Apple. Для установки агента-экстрактора по-прежнему требуется учётная запись, зарегистрированная в программе Apple для разработчиков.
Список совместимых моделей и версий операционных систем доступен на следующей инфографике:
iOS Forensic Toolkit – единственное решение, позволяющее извлечь образ файловой системы и связку ключей из приставок Apple TV. С учётом того, что приставки Apple TV – единственные устройства Apple, на которых не может быть установлен код блокировки, доступность для них нового метода криминалистического анализа открывает доступ к ранее недоступным цифровым уликам.
Низкоуровневый доступ к устройству позволяет извлечь такие данные, как полный системный журнал устройства, данные о физической активности пользователя, подробный список треков и геопозиций, данные приложения Wallet (брони, посадочные талоны, дисконтные карты и др.), а также связку ключей, в которой хранятся пароли пользователя и данные для входа в учётные записи.
Разработанный нами метод извлечения не требует загрузки смартфона или планшета в оригинальную версию операционной системы; никакие данные на устройстве не модифицируются. Важное преимущество метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).
Новое в Elcomsoft iOS Forensic Toolkit 8.10:
Новое в Elcomsoft iOS Forensic Toolkit 7.70 (редакция для Windows):
Новое в Elcomsoft iOS Forensic Toolkit 7.70 (редакция для macOS):