В обновлении Elcomsoft iOS Forensic Toolkit 8.55 существенно улучшена поддержка низкоуровневого извлечения методом эксплойта загрузчика для многих устройств Apple, работающих под управлением iOS/iPadOS 16. Для ряда моделей требование удалять код блокировки экрана снимается.
В обновлении iOS Forensic Toolkit 8.55 переработана процедура низкоуровневого извлечения данных с использованием эксплойта checkm8. Для многих устройств, для которых ранее требовалось удалять код блокировки экрана, это требование снято.
Кроме того, мы добавили две новых редакции продукта: редакция для Astra Linux и новая редакция Linux-arm64, поддерживающая одноплатные микрокомпьютеры Raspberry Pi. Редакция для arm64 находится в ранней стадии разработки; подробное описание и инструкции по установке будут опубликованы в нашем блоге в ближайшие дни.
Сбрасывать код блокировки – не нужно
При извлечении с использованием checkm8 удалять код блокировки экрана требовалось для следующих моделей, работающих под управлением iOS 16: iPad Pro и iPad Pro 2, iPad 5, iPad 6 и iPad 7. Даже после текущего обновления для трёх устройств (iPhone 8, 8 Plus, iPhone X), работающих под управлением iOS 14 или 15, при использовании checkm8 код блокировки экрана всё же придётся удалить.
Удаление кода блокировки экрана в процессе исследования имеет несколько негативных последствий. После удаления нарушается криминалистическая чистота анализа: удаление кода блокировки приводит к необратимой потере некоторой части данных. При удалении кода блокировки может возникнуть риск удалённого стирания/блокировки через iCloud; в некоторых случаях просто удалить код блокировки не удастся, и для этого может потребоваться обходной путь. Наконец, сброс кода блокировки влияет на доступ к зашифрованным данным iCloud. В результате процедура сброса кода блокировки рекомендуется только при крайней необходимости, предварительно создав резервные копии и тщательно взвесив последствия. В то же время для iOS 14 и 15 доступно извлечение на основе агента-экстрактора, которое не требует удаления пароля.
Дополнительная информация – в статье Сброс кода блокировки: когда он нужен, а когда без него можно обойтись.
iOS Forensic Toolkit – универсальное решение для мобильных криминалистов, позволяющее получить низкоуровневый доступ к данным, хранящимся в устройствах Apple последних поколений, работающих под управлением свежих версий iOS.
Новое в iOS Forensic Toolkit 8.55:
Дополнительная информация
• Читать статью «Сброс кода блокировки: когда он нужен, а когда без него можно обойтись» в нашем блогеСсылки