В девятой бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для Mac добавлена поддержка криминалистически чистого анализа большого числа моделей iPad, iPod Touch и Apple TV, работающих под управлением всех версий iOS до 15.5 включительно. С выходом девятой версии Elcomsoft iOS Forensic Toolkit становится самым продвинутым инструментом для извлечения данных из устройств экосистемы Apple, поддерживая все существующие способы доступа к данным.

Вышла девятая бета-версия Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac, в которой добавлена поддержка криминалистически чистого анализа на основе checkm8 для шестнадцати моделей iPad, iPod Touch и Apple TV. Поддерживаются все планшеты iPad и все модели iPod Touch с уязвимыми для checkm8 загрузчиками, а также все версии iOS, совместимые с каждой из моделей, до версии 15.5 включительно. Для большинства поддерживаемых устройств доступно прямое подключение к компьютеру; для единичных моделей потребуется использовать программно-аппаратный комплекс, основанный на микроконтроллере Raspberry Pi Pico.

В обновлённой версии инструментария извлечение файловой системы посредством эксплойта checkm8 стало доступно не только для ряда моделей iPhone, но и для планшетов iPad 5, 6 и 7 поколений, iPad Mini 2, 3 и 4 поколений, iPad Air 1 и 2, а также iPad Pro 1 и 2 поколений (с диагональю экрана 9.7” и 12.9” соответственно). Кроме того, поддерживаются модели iPod Touch 6 и 7 и Apple TV 4 и 4K.

Низкоуровневый доступ к устройству позволяет извлечь такие данные, как полный системный журнал устройства, данные о физической активности пользователя, подробный список треков и геопозиций, данные приложения Wallet (брони, посадочные талоны, дисконтные карты и др.), а также связку ключей, в которой хранятся пароли пользователя и данные для входа в учётные записи.

Разработанный нами метод извлечения не требует загрузки смартфона или планшета в оригинальную версию операционной системы; никакие данные на устройстве не модифицируются. Важное преимущество метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Новое в Elcomsoft iOS Forensic Toolkit 8.0 beta 9

• checkm8: добавлена поддержка iPad 5, 6 и 7 поколений
• checkm8: добавлена поддержка iPad Mini 2, 3 и 4
• checkm8: добавлена поддержка iPad Air 1 и 2
• checkm8: добавлена поддержка iPad Pro 1 и 2
• checkm8: добавлена поддержка iPod Touch 4/5/6/7
• checkm8: добавлена поддержка Apple TV 4 и 4K
• Исправления ошибок и улучшение стабильности работы checkm8
• Улучшена процедура разблокировки (подбора кода блокировки) устаревших устройств (A4/A5/A6)