В обновлённой версии инструментария Elcomsoft iOS Forensic Toolkit 8.0 представлена поддержка криминалистически чистого процесса извлечения данных из устройств Apple на основе эксплойта загрузчика. Извлечение образа файловой системы и расшифровка связки ключей доступны для 76 моделей устройств, множества поколений iOS и трёх поколений архитектуры.

В официальной версии Elcomsoft iOS Forensic Toolkit 8.0 появилась поддержка нового способа извлечения данных из ряда устройств Apple, основанного на эксплойте загрузчика checkm8. Новый режим анализа позволяет извлечь образ файловой системы и расшифровать связку ключей из 76 моделей iPhone, iPod Touch, iPad, Apple Watch и Apple TV, работающих под управлением ряда поколений iOS вплоть до iOS 15.7. Поддержка iOS 16 ограничена из-за исправлений SEP на процессорах A11.

Извлечение посредством checkm8

Новый метод анализа, доступный исключительно для компьютеров Mac, основан на использовании эксплойта checkm8. Извлечение посредством эксплойта checkm8 использует уязвимость в загрузчике ряда моделей Apple, которые не могут быть окончательно исправлены программными обновлениями.

Новый процесс обладает рядом преимуществ в сравнении с любыми другими способами извлечения данных. При точном следовании инструкциям его использование позволяет добиться верифицируемых и полностью повторяемых результатов, которые можно представить в суде.

Для того, чтобы использовать эксплойт, необходимо указать код блокировки экрана, если он установлен, а для моделей iPhone 8, 8 Plus и iPhone X, работающих под управлением iOS 14.0–15.7, потребуется удалить код блокировки экрана перед извлечением данных. В случае, если код блокировки экрана неизвестен, поддерживается ограниченное извлечение в «холодном» режиме BFU. Для старых устройств, основанных на 32-разрядной архитектуре, поддерживается разблокировка путём перебора кодов блокировки.

Наш продукт не использует заимствований из джейлбрейка checkra1n и не включает проприетарного кода Apple. В процессе работы на устройстве не модифицируются ни системный раздел, ни раздел данных.

Новый пользовательский интерфейс

В iOS Forensic Toolkit 8.0 представлена новая концепция пользовательского интерфейса. Вместо консольного меню в обновлённой версии инструментария используется интерфейс командной строки, который предоставляет экспертам как возможность автоматизации процесса, так и полный контроль за каждым шагом процесса и позволяет оперативно вмешаться, если тот или иной шаг потребует дополнительных действий.

С официальным выходом восьмой версии iOS Forensic Toolkit становится самым продвинутым инструментом для извлечения данных из устройств с iOS, поддерживая все существующие способы доступа к данным, включая расширенный логический анализ, низкоуровневое извлечение посредством агента-экстрактора и извлечение через эксплойт checkm8.

Новое в этой версии:

• Интерфейс командной строки
• Добавлена поддержка извлечения через checkm8 для всех совместимых моделей iPhone и iPad
• Добавлена поддержка извлечения через checkm8 для Apple TV 3, Apple TV HD и Apple TV 4K (1 поколения)
• Добавлена поддержка извлечения через checkm8 для часов Appel Watch S3
• Извлечение медиафайлов производит сохранение файлов в архив .tar
• Добавлены команды по привязке и отвязке устройства
• Добавлены команды ssh и scp для низкоуровневой работы с устройством
• Добавлена возможность журналирования через последовательный порт (требуется кабель DCSD)
• Многочисленные исправления и улучшения в работе логического извлечения
• Исправления в извлечении связки ключей