Извлечение данных из iPhone или iPad с использованием эксплойта загрузчика позволяет получить доступ к цифровым уликам в режиме «только для чтения». В то же время этот способ анализа требует от эксперта навыков работы с командной строкой и предварительной тренировки по переводу устройства в режим DFU, а неправильная последовательность действий может нарушить криминалистическую чистоту извлечения. В этой статье приводится пошаговое руководство по работе с checkm8 в инструментарии iOS Forensic Toolkit.

Подготовка к работе

Перед тем, как приступить к извлечению данных, убедитесь, что под рукой есть всё необходимое.

• Компьютер Mac. Вам понадобится фирменный компьютер Apple под управлением macOS (Intel или M1/M2). Виртуальные машины и «хакинтоши» не поддерживаются.
• iOS Forensic Toolkit 8 в редакции для Mac. Обратите внимание: вам нужна редакция продукта для компьютеров Mac!
• Совместимый iPhone или iPad (полный список приводится ниже). Устройство должно быть работоспособным в достаточной степени для подключения его к компьютеру и перевода в режим DFU.
• Код блокировки экрана пуст или известен. В противном случае может быть доступно ограниченное извлечение в «холодном» режиме, в котором доступно достаточно мало данных.
• Совместимая версия iOS. Обратите внимание: смартфоны iPhone, работающие под управлением iOS 16.x, поддерживаются лишь в ограниченной степени, если на устройстве когда-либо устанавливался код блокировки экрана (даже если на момент извлечения он снят).
• Кабель USB-A — Lightning. Кабели Type-C — Lightning не поддерживаются. Допустимо использование переходников с USB-A на Type-C  или хаба USB.
• Необходимо узнать версию iOS, установленную на устройстве. EIFT попытается определить установленную версию системы в процессе работы.
• Также вам понадобится доступ в интернет, чтобы скачать с сайта Apple копию прошивки, соответствующей определённой версии системы. Ссылка для скачивания будет выведена EIFT в процессе работы.

Последовательность шагов по извлечению через эксплойт загрузчика для устройств, работающих под управлением iOS 16, отличается от предыдущих поколений системы.

На устройстве — iOS 15 или более старая версия

На первом шаге рекомендуем отключить автоматическую загрузку устройства в iOS. Это делается для того, чтобы при неудачной попытке входа в DFU устройство не загрузилось в iOS. Для отключения автозагрузки проделайте следующие шаги.

Выключите устройство, если оно включено.

Переведите устройство в режим Recovery (см. следующий раздел) и подключите его к компьютеру. На устройстве должен появиться экран «connect to iTunes». Инструкции по вводу в режим Recovery приводятся ниже.

Случайная загрузка устройства в установленную ОС нарушает криминалистическую чистоту исследования. Чтобы этого не происходило, iOS Forensic Toolkit автоматически устанавливает флажок автозагрузки в значение False в процессе применения эксплойта загрузчика. (опционально) Вы можете самостоятельно установить нужное значение автозагрузки следующей командой:

./EIFT_cmd tools autobootFalse

Значение флага автозагрузки сохраняется и после выключения или перезагрузки устройства. Предполагается, что устройство будет находиться в режиме с отключённой автозагрузкой в течение всего времени, пока оно находится в процессе исследования. Оригинальное значение флага ‘autobootTrue’ предполагается восстанавливать непосредственно перед тем, как устройство будет возвращено владельцу (тогда, когда вся работа с устройством полностью завершена). Для этого используется следующая команда (выполнять из режима Recovery):

./EIFT_cmd tools autobootTrue

Запустите EIFT в режиме ожидания:

./EIFT_cmd boot -w

Из режима Recovery переведите устройство в режим DFU по инструкции ниже. Как только устройство будет переведено в режим DFU, EIFT автоматически определит устройство и применит эксплойт.

Обратите внимание: во время загрузки понадобится скачать прошивку требуемой версии с сайта Apple или вставить ссылку на неё.

./EIFT_cmd ramdisk loadnfcd

./EIFT_cmd ramdisk unlockdata -s

./EIFT_cmd ramdisk keychain -o {filename}

./EIFT_cmd ramdisk tar -o {filename}

Выключите устройство:

./EIFT_cmd ssh halt

Непосредственно перед возвратом изъятого устройства отключите режим блокирования автозагрузки (внимание: если планируются дальнейшие действия по работе с устройством, пропустите этот шаг). Для этого включите устройство; оно автоматически загрузится в режим Recovery. Запустите iOS Forensic Toolkit, выполнив команду:

./EIFT_cmd tools autobootTrue

На устройстве — iOS 16

На первом шаге рекомендуем отключить автоматическую загрузку устройства в iOS. Это делается для того, чтобы при неудачной попытке входа в DFU устройство не загрузилось в iOS. Для отключения автозагрузки проделайте следующие шаги.

Выключите устройство, если оно включено.

Переведите устройство в режим Recovery (см. следующий раздел) и подключите его к компьютеру. На устройстве должен появиться экран «connect to iTunes». Инструкции по вводу в режим Recovery приводятся ниже.

Случайная загрузка устройства в установленную ОС нарушает криминалистическую чистоту исследования. Чтобы этого не происходило, iOS Forensic Toolkit автоматически устанавливает флажок автозагрузки в значение False в процессе применения эксплойта загрузчика. (опционально) Вы можете самостоятельно установить нужное значение автозагрузки следующей командой:

./EIFT_cmd tools autobootFalse

Значение флага автозагрузки сохраняется и после выключения или перезагрузки устройства. Предполагается, что устройство будет находиться в режиме с отключённой автозагрузкой в течение всего времени, пока оно находится в процессе исследования. Оригинальное значение флага ‘autobootTrue’ предполагается восстанавливать непосредственно перед тем, как устройство будет возвращено владельцу (тогда, когда вся работа с устройством полностью завершена). Для этого используется следующая команда (выполнять из режима Recovery):

./EIFT_cmd tools autobootTrue

Запустите EIFT в режиме ожидания:

./EIFT_cmd boot -w

Переведите устройство в режим Recovery (если оно не находится в этом режиме).

Из режима Recovery переведите устройство в режим DFU по инструкции ниже. Как только устройство будет переведено в режим DFU, EIFT автоматически определит устройство и применит эксплойт.

./EIFT_cmd ramdisk unlockdata

./EIFT_cmd ramdisk keychain -o {filename}

./EIFT_cmd ramdisk tar -o {filename}

Выключите устройство:

./EIFT_cmd ssh halt

Непосредственно перед возвратом изъятого устройства отключите режим блокирования автозагрузки (внимание: если планируются дальнейшие действия по работе с устройством, пропустите этот шаг). Для этого включите устройство; оно автоматически загрузится в режим Recovery. Запустите iOS Forensic Toolkit, выполнив команду:

./EIFT_cmd tools autobootTrue

Ввод в режим DFU

Этот шаг является обязательным вне зависимости от того, какие дальнейшие действия вы планируете совершить в рамках анализа. Начальное состояние: устройство включено и подключено к компьютеру кабелем USB-A (при этом оно может находиться в режиме ограничений USB).

iPhone 7, 7 Plus и более старые устройства

Шаг 1: ввод в Recovery

На iPhone 7, iPhone 7 Plus:

• Убедитесь, что устройство выключено. Если это не так, выключите устройство штатным образом.
• Нажмите и удерживайте кнопку уменьшения громкости.
• Продолжая удерживать кнопку, подключите телефон к компьютеру.
• Продолжайте удерживать кнопку, пока на устройстве не отобразится экран восстановления.

На iPhone 6s и более старых, включая iPhone SE (1-го поколения):

• Убедитесь, что устройство выключено. Если это не так, выключите устройство штатным образом.
• Нажмите и удерживайте кнопку «Домой».
• Продолжая удерживать кнопку, подключите телефон к компьютеру.
• Продолжайте удерживать кнопку, пока на устройстве не отобразится экран восстановления.

Шаг 2: ввод в DFU

На iPhone 6s и более старых, включая iPhone SE (1-го поколения):

• Одновременно зажмите кнопку питания (или боковую кнопку) и кнопку Home (c датчиком Touch ID) и удерживайте в течение 8 секунд
• Отпустите кнопку питания, а кнопку Home продолжайте удерживать ещё 8 секунд

На iPhone 7 и 7 Plus:

• Одновременно зажмите боковую кнопку и кнопку Vol- и удерживайте в течение 8 секунд
• Отпустите кнопку питания, а кнопку Vol- продолжайте удерживать ещё 8 секунд

В случае успеха экран должен остаться чёрным. Если устройство перезагрузилось в обычном режиме или устройство показывает логотип iTunes, необходимо повторить процедуру.

iPhone 8, 8 Plus и iPhone X

Для устройств на процессорах A11 существует два режима DFU, которые отличаются между собой. Критично важно ввести устройство в правильный режим DFU; в противном случае может не сработать эксплойт или возникнуть ошибки в процессе монтирования раздела данных. Для того, чтобы устройство перешло в нужный режим DFU, разработана и протестирована процедура перевода в этот режим через промежуточный режим Recovery. Используйте следующую последовательность шагов.

Шаг 1: ввод в Recovery

Вероятность успешного применения эксплойта загрузчика повышается, если смартфон ввести в режим DFU не непосредственно, а через промежуточный сервисный режим Recovery.

Для iPhone 8, 8 Plus и iPhone X используйте такие шаги:

• Убедитесь, что устройство выключено. Если это не так, выключите устройство штатным образом.
• Нажмите и удерживайте боковую кнопку.
• Достаточно быстро, чтобы не успела начаться процедура загрузки iOS, подключите телефон к компьютеру, продолжая удерживать кнопку.
• Продолжайте удерживать кнопку, пока на устройстве не отобразится экран восстановления:

Если iPhone 8, 8 Plus или iPhone X включён или включён и уже подключён к компьютеру кабелем Lightning, отключите его от компьютера и корректно выключите устройство во избежание утраты данных, после чего проделайте шаги, описанные выше.

Шаг 2: ввод iPhone 8, 8 Plus или iPhone X в DFU

Далее iPhone переводится из режима Recovery в режим DFU. Не отключая телефон от компьютера, запустите iOS Forensic Toolkit в режиме ожидания:

./EIFT boot -w

Далее на iPhone 8, 8 Plus или iPhone X:

• короткое нажатие Vol+
• короткое нажатие Vol-
• нажать и удерживать Power до появления сообщения «iPhone disconnected» в приложении iOS Forensic Toolkit на компьютере. Это сообщение означает, что iPhone отключился от компьютера.
• продолжая удерживать Power, зажать и удерживать Vol- в течение 4 секунд
• спустя 4 секунды отпустить Power (продолжая удерживать Vol-).
• iOS Forensic Toolkit подключится и начнёт загрузку iPhone. Когда это произойдёт, отпустите кнопку Vol-.

Важно: если передержать кнопки дольше 4 секунд, вместо входа в DFU телефон перезагрузится. Перед началом работы с исследуемым устройством рекомендуем по возможности попрактиковаться на другом экземпляре iPhone той же модели.

Альтернативные варианты перевода iPhone в DFU

В случае, если устройство невозможно перевести в режим DFU стандартным способом, попробуйте воспользоваться одной из инструкций, опубликованных в нашем блоге:

• Аппаратный способ перевода iPhone в режим DFU: когда не работают кнопки

Для устройств iPad, Apple TV, iPod Touch можно воспользоваться одним из способов, описанных в статье:

• Перевод iPhone в режим DFU

Совместимые модели устройств

Уязвимость загрузчика, которую эксплуатирует checkm8, была обнаружена в целом ряде устройств, куда входят, например, такие модели, как iPhone 7, 7 Plus, 8, 8 Plus и iPhone X. В актуальной версии iOS Forensic Toolkit извлечение доступно для следующих моделей:

• iPhone 5S (iPhone6,1): A1453, A1533
• iPhone 5S (iPhone6,2): A1457, A1518, A1528, A1530
• iPhone 6 (iPhone7,2): A1549, A1586, A1589
• iPhone 6 Plus (iPhone7,1): A1522, A1524, A1593
• iPhone 6s (iPhone8,1): A1633, A1688, A1691, A1700
• iPhone 6s Plus (iPhone8,2): A1634, A1687, A1690, A1699
• iPhone SE (iPhone8,4): A1662, A1723, A1724
• iPhone 7 (iPhone9,1 и iPhone9,3): A1778, A1660, A1780, A1779, A1853, A1866
• iPhone 7 Plus (iPhone9,2 и iPhone9,4): A1784, A1661, A1785, A1786
• iPhone 8 (iPhone10,1/iPhone10,4): A1863, A1905, A1906, A1907
• iPhone 8 Plus (iPhone10,2/iPhone10,5): A1864, A1897, A1898, A1899
• iPhone X (iPhone10,3/iPhone10,6): A1865, A1901, A1902, A1903

Кроме того, поддержка есть для следующих моделей:

• iPod Touch 6/7: A1574, A2178
• iPad Air 1/2: A1474, A1475, A1476, A1566, A1567
• iPad Mini 2/3/4: A1489, A1490, A1491, A1599, A1600, A1601, A1538, A1550
• iPad 5/6/7: A1822, A1823, A1893, A1954, A2197, A2198, A2200
• iPad Pro 1/2: A1584, A1652, A1673, A1674, A1675, A1670, A1671, A1701, A1709, A1821, A1852

Извлечение посредством checkm8 доступно и для 32-разрядных моделей, к примеру, iPod Touch 5, iPad 2/3/4, iPad Mini. В то же время инструкции для них несколько отличаются, а для ряда моделей для применения эксплойта нужен отдельный аппаратный модуль на основе Raspberry Pi Pico.