Elcomsoft iOS Forensic Toolkit был и остаётся одним из самых продвинутых инструментов по извлечению данных из устройств экосистемы Apple. Наш продукт опережает конкурентов по ряду уникальных возможностей, широчайшему спектру совместимых устройств и списку поддерживаемых версий мобильных операционных систем Apple, который был в очередной раз расширен в новом обновлении продукта.

Низкоуровневый анализ: образ файловой системы и связка ключей

В рамках низкоуровневого анализа из устройств мобильной экосистемы Apple, куда входят, помимо смартфонов iPhone и планшетов iPad, приставки Apple TV, часы Apple Watch и колонки HomePod, извлекаются две основных категории данных: полный образ файловой системы и связка ключей. Связка ключей в iOS/iPadOS хранится в виде базы данных, записи в которой зашифрованы. Таким образом, недостаточно просто извлечь из устройства файлы базы данных; необходимо ещё и расшифровать каждую запись. Для расшифровки связки ключей необходимо получить доступ к соответствующим ключам, что, в свою очередь, требует несколько иного подхода в сравнении с тем, который используется для простого извлечения файловой системы. Именно поэтому в предыдущем обновлении продукта мы добавили возможность извлечения полного образа файловой системы для iOS 16.0-16.3.1, оставив связку ключей за бортом.

В настоящем релизе этот вопрос был решён: теперь связка ключей стала доступной для всех моделей iPhone, начиная с линейки Xs/Xr и заканчивая актуальными моделями iPhone 14/14 Pro, а также iPads вплоть до моделей на чипах M1/M2, работающих под управлением iOS/iPadOS 16.0-16.4.

В текущем виде матрица совместимости выглядит следующим образом:

Обратите внимание: поддержка версий iOS с 9 по 11 агентом-экстрактором доступна в сборках iOS Forensic Toolkit 8.23 или 7.81, ссылку на которые можно запросить в нашей службе поддержки. В более новых сборках iOS Forensic Toolkit поддержка старых версий iOS была убрана по техническим причинам.

Связка ключей — критически важный элемент расследования

Всем известен очевидный функционал связки ключей: хранение пользовательских паролей от онлайновых учётных записей и некоторых приложений. Не будем повторяться и рассказывать о том, для чего следствию могут понадобиться эти пароли. Остановимся на другом, менее очевидном аспекте.

Помимо текстовых паролей в связке ключей хранятся и многочисленные токены и ключи шифрования. Так, если в системе установлено приложение мгновенного обмена сообщениями Signal, его база данных (то есть — фактически, вся переписка пользователя) будет зашифрована. Просто скопировать из устройства файлы базы данных Signal недостаточно для того, чтобы прочитать сообщения. В то же время в связке ключей хранится ключ шифрования, посредством которого можно расшифровать базу данных установленного приложения Signal и получить доступ к истории сообщений пользователя. Таких приложений — множество; ключи шифрования к защищённой переписке доступны исключительно в связке ключей, а извлечь их оттуда можно лишь при помощи низкоуровневых методов: в резервные копии, даже защищённые паролем, такие ключи не попадают (как не попадают и сами базы данных защищённых мессенджеров).

Поддержка iOS 16.4: что дальше?

В прошлом обновлении продукта мы анонсировали поддержку iOS/iPadOS 16.4 в ближайшем будущем. Будущее настало, и iOS 16.4 получила поддержку в текущем обновлении iOS Forensic Toolkit. Что дальше? Мы работаем над очередным обновлением инструментария с поддержкой iOS 16.4.1 и 16.5. Следите за новостями!

Заключение

Elcomsoft iOS Forensic Toolkit был и остаётся вне конкуренции в области извлечения данных из устройств экосистемы Apple. Благодаря мощному агенту-экстрактору, поддержке всех моделей iPhone, включая актуальную линейку iPhone 14/14 Pro, а также моделей iPad вплоть до чипов M1 и M2, и способности расшифровать связку ключей и свежих версий iOS, наш инструментарий предоставляет экспертам полноценный доступ к ценной информации. Недавнее обновление, в котором была добавлена поддержки iOS 16.4, а также постоянные усилия с целью поддержки более новых версий системы укрепляют позицию iOS Forensic Toolkit в качестве передового решения  для извлечения данных из устройств Apple.