В обновлении Elcomsoft iOS Forensic Toolkit 8.55 существенно улучшена поддержка низкоуровневого извлечения методом эксплойта загрузчика для многих устройств Apple, работающих под управлением iOS/iPadOS 16. Для ряда моделей требование удалять код блокировки экрана снимается.

В обновлении iOS Forensic Toolkit 8.55 переработана процедура низкоуровневого извлечения данных с использованием эксплойта checkm8. Для многих устройств, для которых ранее требовалось удалять код блокировки экрана, это требование снято.

Кроме того, мы добавили две новых редакции продукта: редакция для Astra Linux и новая редакция Linux-arm64, поддерживающая одноплатные микрокомпьютеры Raspberry Pi. Редакция для arm64 находится в ранней стадии разработки; подробное описание и инструкции по установке будут опубликованы в нашем блоге в ближайшие дни.

Сбрасывать код блокировки – не нужно

При извлечении с использованием checkm8 удалять код блокировки экрана требовалось для следующих моделей, работающих под управлением iOS 16: iPad Pro и iPad Pro 2, iPad 5, iPad 6 и iPad 7. Даже после текущего обновления для трёх устройств (iPhone 8, 8 Plus, iPhone X), работающих под управлением iOS 14 или 15, при использовании checkm8 код блокировки экрана всё же придётся удалить.

Удаление кода блокировки экрана в процессе исследования имеет несколько негативных последствий. После удаления нарушается криминалистическая чистота анализа: удаление кода блокировки приводит к необратимой потере некоторой части данных. При удалении кода блокировки может возникнуть риск удалённого стирания/блокировки через iCloud; в некоторых случаях просто удалить код блокировки не удастся, и для этого может потребоваться обходной путь. Наконец, сброс кода блокировки влияет на доступ к зашифрованным данным iCloud. В результате процедура сброса кода блокировки рекомендуется только при крайней необходимости, предварительно создав резервные копии и тщательно взвесив последствия. В то же время для iOS 14 и 15 доступно извлечение на основе агента-экстрактора, которое не требует удаления пароля.

Дополнительная информация – в статье Сброс кода блокировки: когда он нужен, а когда без него можно обойтись.

iOS Forensic Toolkit – универсальное решение для мобильных криминалистов, позволяющее получить низкоуровневый доступ к данным, хранящимся в устройствах Apple последних поколений, работающих под управлением свежих версий iOS.

Новое в iOS Forensic Toolkit 8.55:

• checkm8: снято требование удалять код блокировки для ряда устройств под управлением iPadOS 16
• Новая редакция: Linux-arm64
• Новая редакция: Astra Linux
• Множество мелких улучшений производительности и исправленных ошибок