Инструментарий Elcomsoft iOS Forensic Toolkit получил крупное обновление. В версии 3.0 добавлена поддержка физического извлечения данных из устройств под управлением всех версий iOS 10, а также iOS 11.0-11.1.2. Кроме того, в новой версии инструментария появилась возможность извлекать данные некоторых приложений без установки jailbreak.

Инструментарий Elcomsoft iOS Forensic Toolkit для извлечения данных из устройств под управлением iOS получил крупное обновление. Благодаря появлению ряда новых jailbreak, Elcomsoft iOS Forensic Toolkit 3.0 получил поддержку физического извлечения данных из устройств, работающих под управлением всех версий iOS 10, а также ряда версий iOS 11 от 11.0 до 11.1.2 включительно. Для устройств без jailbreak новая версия инструментария предлагает ряд новых возможностей, включая извлечение данных из множества приложений.

Благодаря новым возможностям Elcomsoft iOS Forensic Toolkit 3.0 становится универсальным решением для извлечения данных из смартфонов и планшетов под управлением iOS вне зависимости от аппаратной платформы и версии операционной системы. Поддерживаются все существующие устройства и версии iOS и все доступные методы извлечения данных от логического извлечения посредством локальной резервной копии до снятия физического образа раздела данных.

Физическое извлечение через jailbreak

С помощью ряда недавно анонсированных jailbreak, включающих в себя LiberIOS (iOS 11.0-11.1.2), Electra (iOS 11.0-11.1.2), h3lix (iOS 10.0-10.3.3, 32-bit) и Meridian (iOS 10.0-10.3.3, 64-bit), в EIFT 3.0 стало возможным физическое извлечение данных из всех 32- и 64-разрядных устройств под управлением iOS 10, а также устройств, работающих под управлением iOS версий с 11.0 по 11.1.2. Для 32-разрядных устройств доступно полное низкоуровневое извлечение данных, в то время как для 64-разрядных устройств доступен режим снятия образа файловой системы.

По сравнению с логическим извлечением через резервные копии, с помощью физического анализа дополнительно доступны такие данные, как записи из keychain с высоким классом защиты, кэш браузера, временные файлы, подробная история местоположения, сообщения электронной почты, а также данные приложений, запретивших резервное копирование. Также доступна история переписки через программы мгновенного обмена сообщениями, включая защищённые мессенжеры Telegram, Signal, WhatsApp, Skype и Facebook Messenger.

Извлечение данных приложений

Для устройств, на которые невозможна установка jailbreak, добавлена возможность извлечения данных из многих приложений. Извлекаются локальные копии документов из мобильных приложений Adobe Reader и Microsoft Office, база данных паролей MiniKeePass, файлы и документы из многих других приложений. Для извлечения этих данных необходимо разблокировать устройство либо использовать lockdown-запись.