Elcomsoft iOS Forensic Toolkit 8.10: checkm8 для iOS/iPadOS/tvOS 16.2, агент-экстрактор в редакции для Windows

В Elcomsoft iOS Forensic Toolkit 8.10 для Mac добавлена поддержка криминалистически чистого извлечения посредством эксплойта checkm8 для ряда моделей iPhone, iPad и Apple TV, работающих под управлением iOS/iPadOS/tvOS 16.2. Кроме того, в версии 7.70 для Windows вновь заработал механизм установки агента-экстрактора.

Вышло первое крупное обновление Elcomsoft iOS Forensic Toolkit 8.10 для компьютеров Mac. В новой версии продукта поддержка криминалистически чистого извлечения полного образа файловой системы с использованием эксплойта checkm8 для ряда моделей iPhone, iPad и Apple TV, работающих под управлением iOS, iPadOS или tvOS 16.2. Поддерживаются модели устройств, в которых была обнаружена уязвимость загрузчика и для которых доступна iOS 16. В их число входят iPhone X и более старые устройства, а также планшеты iPad и приставки Apple TV, собранные с использованием аналогичных процессоров.

Для моделей iPhone 8, 8 Plus и iPhone X действует ограничение: извлечение данных посредством checkm8 возможно только в случае, если на устройстве не только нет кода блокировки экрана, но и не было с момента начальной настройки. На планшеты iPad это ограничение не распространяется.

В новой сборке улучшена работа агента-экстрактора, который получил экспериментальную поддержку версий iOS вплоть до 15.5 включительно. Поддержка работает на устройствах, построенных на процессорах поколений A12 и более новых; для более старых устройств (A11 и старше) поддерживается извлечение посредством checkm8. Для работы с iOS/iPadOS 15.5 используется новый, достаточно сложный эксплойт, стабильная работа которого не гарантируется. Мы работаем над улучшением стабильности работы экстрактора с данной версией ОС.

Кроме того, мы обновили и седьмую версию продукта. В отличие от Elcomsoft iOS Forensic Toolkit 8, который существует только в редакции для компьютеров Mac, седьмая версия продукта доступна в редакциях как для macOS, так и для Windows. В редакции для Windows мы изменили механизм цифровой подписи агента-экстрактора, в котором теперь используются обычные пароли от Apple ID, а не пароль приложения. Новый механизм цифровой подписи устраняет проблему с установкой агента-экстрактора на устройства Apple. Для установки агента-экстрактора по-прежнему требуется учётная запись, зарегистрированная в программе Apple для разработчиков.

Список совместимых моделей и версий операционных систем доступен на следующей инфографике:

iOS Forensic Toolkit – единственное решение, позволяющее извлечь образ файловой системы и связку ключей из приставок Apple TV. С учётом того, что приставки Apple TV – единственные устройства Apple, на которых не может быть установлен код блокировки, доступность для них нового метода криминалистического анализа открывает доступ к ранее недоступным цифровым уликам.

Низкоуровневый доступ к устройству позволяет извлечь такие данные, как полный системный журнал устройства, данные о физической активности пользователя, подробный список треков и геопозиций, данные приложения Wallet (брони, посадочные талоны, дисконтные карты и др.), а также связку ключей, в которой хранятся пароли пользователя и данные для входа в учётные записи.

Разработанный нами метод извлечения не требует загрузки смартфона или планшета в оригинальную версию операционной системы; никакие данные на устройстве не модифицируются. Важное преимущество метода, использующего эксплойт загрузчика – доказываемая идентичность повторно извлечённых данных, полученных спустя время в новой сессии работы с устройством. Это означает, что после использования метода можно провести повторное извлечение и получить полностью идентичный результат (при условии, что устройство не включалось и не перезагружалось после первого извлечения, а было сразу выключено и оставалось выключенным до следующей сессии).

Новое в Elcomsoft iOS Forensic Toolkit 8.10:

  • Агент-экстрактор: добавлена поддержка iOS до версии 15.5 включительно для устройств на процессорах A12 и более новых
  • Агент-экстрактор: улучшен механизм цифровой подписи агента
  • checkm8: добавлена поддержка образа файловой системы для iOS 16.2, iPadOS 16.2 и tvOS 16.2
  • Агент-экстрактор: исправлена проблема с удалением агента-экстрактора
  • Исправления мелких ошибок

Новое в Elcomsoft iOS Forensic Toolkit 7.70 (редакция для Windows):

  • Агент-экстрактор: добавлена поддержка iOS до версии 15.5 включительно для устройств на процессорах A12 и более новых
  • Агент-экстрактор: решена проблема с цифровой подписью агента-экстрактора. Для установки агента на устройство теперь используется обычный пароль, а не пароль приложения
  • Агент-экстрактор: исправлена проблема с удалением агента-экстрактора
  • Исправления мелких ошибок

Новое в Elcomsoft iOS Forensic Toolkit 7.70 (редакция для macOS):

  • Агент-экстрактор: добавлена поддержка iOS до версии 15.5 включительно для устройств на процессорах A12 и более новых
  • Агент-экстрактор: улучшен механизм цифровой подписи агента
  • Агент-экстрактор: исправлена проблема с удалением агента-экстрактора
  • Исправления мелких ошибок

Получить больше информации о Elcomsoft iOS Forensic Toolkit:
https://www.elcomsoft.ru/eift.html

Получить больше информации о Elcomsoft Mobile Forensic Bundle:
https://www.elcomsoft.ru/emfb.html

Читать статью в нашем блоге: Установка агента-экстрактора без учётной записи разработчика

Читать статью в нашем блоге: checkm8 для iOS 16.2 и возвращение агента-экстрактора в редакции для Windows