В новом релизе iOS Forensic Toolkit 7.10 появилась поддержка ряда версий iOS 14, работающих на устройствах поколений A11, A12 и A13 Bionic. Для этих устройств доступно низкоуровневое извлечение данных посредством агента-экстрактора. До обновления iOS Forensic Toolkit поддерживал все версии iOS от 9 до 14.3 включительно. Новая сборка позволяет получить доступ к данным и для устройств, работающих на iOS 14.4-14.8 — однако набор извлекаемых данных различается в зависимости от аппаратной платформы.
Для извлечения данных из iPhone можно использовать один из нескольких методов. Самый доступный и распространённый из них — метод логического анализа, работающий на всех без исключения устройствах iOS, выпущенных за последнее десятилетие. Для многих экспертов набора данных, возвращаемого этим методом, вполне достаточно. В то же время у низкоуровневого анализа есть свои преимущества: это и доступ к истории местоположений устройства, и данные из «песочниц» абсолютно всех приложений, включая защищённые мессенджеры, и подробную информацию об использовании устройства.
Для низкоуровневого анализа можно использовать несколько способов. Для старых устройств можно использовать извлечение через эксплойт загрузчика checkm8 (подробности — в статье). В нашей реализации именно этот способ является идеально криминалистически чистым; он поддерживает и современные версии iOS вплоть до актуальной на сегодня версии 15.2.
К сожалению, на новых устройствах этот метод недоступен. Для доступа к данным мы разработали уникальное решение: приложение агента-экстрактора, в котором собраны все известные нам эксплойты iOS уровня ядра, позволяющие получить доступ к данным без модификации системного раздела устройства. Этот метод — следующий в списке по критерию криминалистической чистоты, однако поиск уязвимостей и разработка эксплойтов уровня ядра — чрезвычайно сложный процесс, приводящий к заметному отставанию инструментов для извлечения данных от актуальных версий iOS.
Что такое «агент-экстрактор»?
Агент-экстрактор — это приложение для iOS, которое устанавливается на исследуемое устройство. После запуска приложение-агент получает доступ к файловой системе, устанавливает канал связи с компьютером и передаёт на него данные, включая образ файловой системы и ключи, необходимые для расшифровки связки ключей.
В предыдущих версиях iOS Forensic Toolkit поддерживались версии iOS до 14.3 включительно. В версии 7.10 мы расширили список поддерживаемых систем до iOS 14.8 включительно. Для моделей iPhone 8, 8 Plus и iPhone X доступна полная поддержка (извлечение файловой системы и связки ключей). Для более новых моделей iPhone Xr, Xs, Xs Max, iPhone SE (2 поколения) и линейки iPhone 11 полная поддержка доступна для версий iOS младше iOS 14.5. Для более новых версий iOS вплоть до iOS 14.8 включительно доступно извлечение образа файловой системы; мы работаем над поддержкой извлечения связки ключей.
Использование агента
Вам потребуется устройство, работающее под управлением одной из поддерживаемых версий iOS. Код блокировки экрана должен быть известен или не установлен.
Для установки агента рекомендуем использовать Apple ID, зарегистрированный в Программе разработчика Apple. Для пользователей компьютеров Mac доступен альтернативный способ, не требующий участия в Программе разработчика Apple.
Для извлечения данных используйте следующие шаги.
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).