В Elcomsoft iOS Forensic Toolkit 8.13 для Mac добавлена поддержка криминалистически чистого извлечения посредством эксплойта checkm8 для умных колонок HomePod первого поколения. Кроме того, в новой сборке расширена поддержка старых версий iOS.

В обновлении Elcomsoft iOS Forensic Toolkit 8.13 для Mac появилась поддержка криминалистически чистого извлечения для умных колонок HomePod первого поколения, в которых используется чип с уязвимостью checkm8.

Умные колонки Apple HomePod первого поколения оборудованы скрытым диагностическим портом, который можно использовать для подключения к компьютеру с последующим извлечением данных. Для доступа к данным необходимо будет осуществить частичный разбор колонки с целью получения доступа к скрытому порту, после чего собрать и подключить адаптер для подключения колонки к компьютеру. Инструкции и схема адаптера доступны в нашем блоге: Исследование HomePod: скрытый порт и USB-адаптер и эксплойт checkm8 и извлечение данных.

iOS Forensic Toolkit – единственное решение, позволяющее извлечь образ файловой системы и связку ключей из колонок HomePod первого поколения и других IoT устройств, включая Apple TV и Apple Watch. С учётом того, что умные колонки HomePod не могут быть защищены кодом блокировки, появление для них нового метода криминалистического анализа открывает доступ к ранее недоступным цифровым уликам.

Низкоуровневый доступ к устройству позволяет извлечь такие данные, как полный системный журнал устройства, список паролей к точкам доступа Wi-Fi, к которым подключались какие-либо устройства пользователя, зарегистрированные в той же учётной записи, список звонков и ряд других данных.

Разработанный нами метод извлечения не требует загрузки в оригинальную версию операционной системы; никакие данные на устройстве не модифицируются. Важное преимущество метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Новое в Elcomsoft iOS Forensic Toolkit 8.13:

• checkm8: добавлена поддержка HomePod первого поколения
• checkm8: функция «perfect HFS acquisition» для 32-разрядных устройств
• checkm8: добавлена полная поддержка iOS 4-6 для всех 32-разрядных устройств
• checkm8: добавлена поддержка iPod Touch 3
• checkm8: исправлена поддержка перебора кода блокировки некоторых 32-разрядных устройств
• checkm8: исправление обнаруженных проблем