Второй фактор аутентификации в наши дни — основа основ защиты учётных записей. Пароль — это то, что вы знаете; на практике это «то, что можно выманить, подобрать, найти в утечке или использовать извлечённый с другого сервиса». Второй фактор — это то, что у вас есть; несмотря на то, что современные мошенники успешно выманивают и его, без двухфакторной аутентификации ситуация была бы намного хуже.
В новой версии iOS Forensic Toolkit нам удалось обойти функцию «Защита украденного устройства»: теперь агент-экстрактор можно установить на устройства с активированной защитой, не устанавливая доверенных отношений между iPhone и рабочей станцией эксперта. Фактически, новый метод преодолевает блокировку «Защиты украденного устройства» (SDP, Stolen Device Protection), которая требует биометрии на шаге установки доверия с компьютером. Обход этого шага означает обход и самой защиты. Вам понадобятся: код блокировки устройства, платная учётная запись разработчика Apple и само устройство.
В последнем обновлении iOS Forensic Toolkit появился новый способ установки агента. Точнее, целых три способа, немного отличающихся в деталях. Объединяет их одно: все три способа используют установку агента через сеть с локального веб-сервера, который запускается на компьютере эксперта. Для чего такие сложности? Исключительно для того, чтобы обойти механизм установления доверенных отношений, который блокирует функция «Защита украденного устройства».
При исследовании iOS 18 и iOS 26 специалисты сталкиваются с проблемой: в меню Настройки → [имя пользователя] → Вход и безопасность пропал пункт Получить код проверки. В профессиональном сообществе иногда считают, что Apple окончательно удалила эту функцию, а коды на доверенное устройство приходят только в виде пуш-уведомлений. Это не так: опция на месте, изменилась лишь логика её отображения в интерфейсе.
В Elcomsoft Phone Breaker 11.2 появилась возможность скачивать облачные резервные копии, созданные устройствами под управлением iOS и iPadOS 26 и бета-версий 27. На сегодня наш продукт — не только первое, но и единственное на рынке решение, совместимое с последними версиями мобильных ОС от Apple. Несмотря на то, что обновление выглядит рутинным, это не так: в iOS 26 Apple полностью переработала механизмы хранения и доступа к резервным копиям, что потребовало от нас не просто внести несколько исправлений, но полностью переписать весь код для доступа в облако.
«Защита украденного устройства» в её текущей реализации кардинально меняет правила игры для криминалистов. С точки зрения специалиста, функция делает простую вещь: требует Face ID или Touch ID для того, чтобы установить привязку устройства к компьютеру. Даже зная код блокировки, но не имея возможности авторизовать процедуру по лицу или отпечатку пальца владельца, привязать iPhone к рабочей станции для извлечения данных из него больше не выйдет. С весны 2026 года Apple включает эту защиту прямо «из коробки»; мы же готовим решение по её обходу, позволяющее установить и использовать агент-экстрактор при активной защите.
Основной целью «защиты устройства» по версии Microsoft была полностью прозрачная защита данных: системный диск зашифрован, а пользователю об этом не нужно даже знать. Шифрование на современных сборках Windows может происходить автоматически, ключи восстановления — так же автоматически загружаются в облако Microsoft (или в корпоративную сеть, Entra ID); пользователь никогда (по мнению Microsoft) не должен сталкиваться с паролями или ключами шифрования.
Извлечение резервных копий из iCloud — одна из самых технически сложных задач в облачной криминалистике. В iCloud резервные копии не создаются в виде единого файла в фиксированном формате; они собираются из множества отдельных фрагментов, которые нужно сначала извлечь, а затем собрать из них цельную резервную копию в стандартном формате, который можно будет открыть и проанализировать стандартными средствами. Какое-то время назад разработчики Apple изменили протоколы обмена данными, и старые методы извлечения перестали работать у всех, кроме самой Apple. Нам пришлось адаптировать внутренние механизмы; подробно об этом мы писали в материале Elcomsoft Phone Breaker 11: возвращение iCloud.
12 мая 2026 года исследователь, известный под никами Chaotic Eclipse и Nightmare-Eclipse, выложил на GitHub рабочий PoC для уязвимости нулевого дня в Windows под названием YellowKey. Эксплойт позволяет выйти в командную строку и получить доступ к зашифрованному BitLocker системному диску любому, у кого есть физический доступ к компьютеру с Windows 11, Windows Server 2022 или Windows Server 2025. Без пароля, ключа восстановления или сложного оборудования для перехвата данных TPM. Достаточно USB-накопителя и комбинации клавиш во время перезагрузки.
Мы часто пишем про разные способы извлечения данных, и особенно часто — про извлечение методом агента-экстрактора, нашу собственную разработку. Технологии постоянно меняются, и со временем накапливаются мелкие изменения, в результате чего ранние статьи устаревают и теряют релевантность. Начиная с прошлого года мы начали выпускать своеобразные дайджесты — первым стал материал Агент-экстрактор: самая подробная инструкция (2025). За год накопилось достаточно изменений, чтобы написать очередной дайджест. В сегодняшнем материале мы собрали актуальную информацию об агенте-экстракторе на май 2026 года.