Для чего нужно знать, на каком процессоре (SoC) основано то или иное устройство Apple? Если вы работаете в сфере мобильной криминалистики, ответ очевиден: аппаратная платформа является одним из решающих факторов, влияющих на доступные способы извлечения данных. Поколение SoC не менее важно, чем установленная на устройство версия iOS/watchOS/iPadOS. В этой статье описаны доступные для каждой комбинации платформ/версий ОС возможности извлечения данных.
Больше года назад мы уже публиковали информацию о мобильных устройствах Apple, сведённую в таблицу; см. Памятку по мобильным устройствам Apple. С тех пор вышла череда обновлений, информация о доступных методах извлечения в известной мере утратила актуальность.
Возможные сценарии были рассмотрены и в статье «Сравнение методов извлечения iPhone», которая тоже несколько устарела. Актуальная матрица совместимости выглядит следующим образом:
Значения цветов
checkm8 — необычный и очень мощный эксплойт. Наши программы поддерживают его для устройств iPhone модельного ряда от iPhone 5s до iPhone X включительно. В настоящее время не поддерживаются следующие устройства, даже если их SoC имеет уязвимость загрузчика, используемую checkm8:
С другой стороны, мы поддерживаем часы Apple Watch Series 3. Они не указаны в таблице, однако модель S3 совместима с эксплойтом checkm8, и из часов можно извлечь связку ключей и файловую систему независимо от версии watchOS. Вот полный список устройств с поддержкой checkm8 (iPhone 4 обрабатывается другим эксплойтом загрузчика):
Агент-экстрактор на 100% совместим со всеми моделями iPod, соответствующими iPhone.
Что касается версий iOS, о них можно сказать следующее:
Звучит запутанно? При таком количестве моделей и версий ОС практически невозможно предоставить простой список устройств или пошаговые инструкции либо реализовать «однокнопочное» решение.
Для низкоуровневого доступа, включая извлечение на основе агента и checkm8, используйте Elcomsoft iOS Forensic Toolkit. Обратите внимание, что для работы с checkm8 вам понадобится версия инструмента для Mac. Используйте EIFT для расширенного логического извлечения, а также создания образов файловой системы с помощью джейлбрейка. Наконец, при анализе 32-разрядных iPhone, защищённых неизвестным кодом блокировки, Elcomsoft iOS Forensic Toolkit поможет его разблокировать, подобрав код.
Elcomsoft Phone Breaker работает с облаком. С помощью этого инструмента можно извлечь облачные резервные копии, фотографии iCloud, синхронизированные данные, связку ключей iCloud и другие данные, защищённые сквозным шифрованием.
Elcomsoft iOS Forensic Toolkit – специализированный инструмент для проведения криминалистического анализа устройств, работающих под управлением Apple iOS. Для анализа доступна вся пользовательская и системная информация, а также зашифрованные данные из системного хранилища (связка ключей).
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.
Elcomsoft Phone Viewer – простой и компактный инструмент для просмотра информации, извлечённой из резервных копий устройств под управлением Apple iOS, облачных сервисов iCloud и Microsoft. При работе с данными iOS поддерживается восстановление и просмотр удалённых сообщений SMS и iMessage. Продукт позволяет просматривать контакты, сообщения, список звонков, данные заметок и календаря.