Apple поддерживает свои устройства в течение длительного времени, иногда неожиданно выпуская патчи безопасности для давно и безнадёжно устаревших устройств. 23 января вместе с релизом iOS 16.3 компания выпустила обновления для старых устройств, не получивших поддержки iOS 16. Что изменилось с точки зрения эксперта-криминалиста с выходом iOS 12.5.7, iOS 15.7.3 и iPadOS 15.7.3?

Два метода низкоуровневого извлечения

За последние годы компания Apple выпустила большое число моделей устройств, многие из которых до сих пор активно используются их владельцами несмотря на возраст. Для многочисленных старых устройств может быть доступно извлечение посредством эксплойта загрузчика checkm8. Этот способ — единственный, способный обеспечить криминалистическую чистоту анализа, но доступен он только для устройств поколения iPhone 8, 8 Plus и iPhone X и более старых. Для более новых платформ доступен другой низкоуровневый метод извлечения, использующий агент-экстрактор нашей разработки. Отметим, что для тех устройств, для которых вышло обновление системы до версии iOS 12.5.7, доступны оба метода, а для тех, которые обновились до iOS 15.7.3 — только checkm8.

iOS 12.5.7: низкоуровневое извлечение по-прежнему работает

Патч безопасности в виде iOS 12.5.7 предназначен для устройств, для которых двенадцатая версия системы стала последней. Сюда входят устройства на чипах Apple A7, A8 и A8X, включая iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6 поколения). В официальной информации говорится об исправлении единственной уязвимости в WebKit CVE-2022-42856.

Агент-экстрактор: поддерживается. Мы проверили работу агента-экстрактора iOS Forensic Toolkit на этой версии системы; проблем с совместимостью не обнаружено. Доступно как извлечение полного образа файловой системы, так и расшифровка связки ключей. Очевидно, разработчики Apple не стали исправлять уязвимость, благодаря которой агенту-экстрактору удаётся получить повышенные привилегии и выбраться из «песочницы».

checkm8: поддерживается. Кроме того, мы проверили работу checkm8 на обновлённом до iOS 12.5.7 устройстве; каких-либо проблем с совместимостью не обнаружено. Извлекается как образ файловой системы, так и связка ключей.

iOS 15.7.3: поддержка checkm8

Версии iOS 15.7.3 и iPadOS 15.7.3 предназначены для устройств на чипах A9/A9X и A10/A10X, для которых пятнадцатая версия системы стала последней. Сюда вошли такие модели, как iPhone 6s и iPhone 6s Plus, iPhone 7 и iPhone 7 Plus, iPhone SE (1 поколения), iPad Air 2, iPad mini (4 поколения), а также iPod touch (7 поколения). Список исправлений в этой версии iOS длиннее предыдущего, но на работе агента-экстрактора он не отражается: извлечение этим способом как не поддерживалось для предыдущей версии системы, так и не поддерживается в обновлении.

Критического значения это, однако, не имеет: для устройств на чипах A9/A9X и A10/A10X доступен более продвинутый способ доступа к данным через эксплойт загрузчика checkm8.

checkm8: поддерживается. Мы проверили работу checkm8 на устройствах, обновлённых до iOS 15.7.3. Алгоритм корректно поддерживает как извлечение образа файловой системы, так и расшифровку связки ключей.

Обратите внимание: поскольку актуальная сборка iOS Forensic Toolkit была выпущена до выхода iOS 15.7.3 и iPadOS 15.7.3, в процессе работы алгоритм не сможет определить версию системы, установленной на устройство, и не сможет отобразить корректную ссылку на скачивание образа прошивки. Напомним, что ссылка на скачивание образа прошивки необходима для работы эксплойта; она будет запрошена программой в процессе работы. До того момента, как мы выпустим обновление iOS Forensic Toolkit, вам придётся самостоятельно найти необходимый образ на сайте Apple, скопировать и вставить в программу ссылку на скачивание прошивки. Альтернативный способ — скачать файл с прошивкой и передать программе путь к скачанному файлу.

Разработанный нами метод извлечения checkm8 зарекомендовал себя как исключительно надёжный и устойчивый к обновлениям версий iOS, в том числе в виде предварительных сборок iOS/iPadOS. Наш подход универсален и во многом уникален, что позволяет нам рассчитывать на поддержку будущих версий iOS/iPadOS.

Таблица совместимости

Мы обновили таблицу совместимости методов извлечения с новыми версиями iOS, добавив в неё iOS 12.5.7 (извлечение посредством агента-экстрактора и checkm8). Для систем с iOS/iPadOS 15.7.3 поддерживается извлечение посредством checkm8, но не агентом-экстрактором.