Elcomsoft iOS Forensic Toolkit 8.0 бета 4: низкоуровневое извлечение данных из iPhone 8, 8 Plus, iPhone X

В четвёртой бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для Mac расширен список моделей iPhone, для которых доступен способ низкоуровневого верифицируемого извлечения данных. В список поддерживаемых устройств вошли модели iPhone 8, 8 Plus и iPhone X – последнее поколение устройств, к которым применим эксплойт checkm8.

Вышла четвёртая бета-версия Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac, в которой расширена поддержка низкоуровневого извлечения данных через эксплойт загрузчика checkm8. Список поддерживаемых моделей пополнили iPhone 8, 8 Plus и iPhone X, являющиеся представителями последнего поколения устройств, для которых существует уязвимость загрузчика.

Извлечение поддерживается для всех версий iOS, которые могут быть установлены на эти устройства. В их список с некоторыми ограничениями входят версии с iOS 11.0 по 15.3 включительно. Теперь низкоуровневый анализ через эксплойт загрузчика доступен для всех представителей 64-разрядной линейки iPhone, у которых была обнаружена уязвимость загрузчика. В список поддерживаемых устройств входят iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus, iPhone SE первого поколения, iPhone 7 и 7 Plus; завершают линейку модели iPhone 8, 8 Plus и iPhone X.

Для вновь добавленных устройств криминалистическая чистота извлечения соблюдается для всех версий iOS за исключением всех версий iOS 14 и 15 (до 15.3 включительно). В этих версиях ОС разработчики Apple усилили защиту SEP, в результате чего перед установкой эксплойта необходимо удалить с устройства код блокировки экрана. Удаление кода блокировки, в свою очередь, потребует загрузки устройства в штатную версию ОС, что нарушает криминалистическую чистоту исследования. В то же время после удаления кода блокировки повторяемость и верифицируемость результатов извлечения по-прежнему гарантируется. Для извлечения из устройств с установленной iOS 11–13.x удаление кода блокировки не требуется, и криминалистическая чистота исследования сохраняется.

С учётом указанных выше ограничений наш метод гарантирует криминалистическую чистоту и неизменность извлекаемых данных при условии точного следования инструкции. Для работы метода не требуется загрузка оригинальной версии операционной системы iPhone; никакие данные на устройстве не модифицируются.

Важное отличие метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

С выходом восьмой версии Elcomsoft iOS Forensic Toolkit становится самым продвинутым инструментом для извлечения данных из устройств с iOS, поддерживая все существующие способы доступа к данным.

Информация о криминалистической чистоте цифровых улик доступна в статье Данные Шредингера.

Новое в Elcomsoft iOS Forensic Toolkit 8.0 beta 4

  • Добавлено криминалистически чистое извлечение из iPhone 8, 8 Plus и iPhone X, работающих под управлением iOS 10/11/12/13
  • Добавлена ограниченная поддержка iPhone 8, 8 Plus и iPhone X, работающих под управлением iOS 14–15 (до 15.3 включительно)
  • Улучшена стабильность установки эксплойта checkm8

Дополнительно