В последнем обновлении iOS Forensic Toolkit мы добавили поддержку низкоуровневого извлечения iOS 26 и 26.0.1. В новой версии инструментария доступно извлечение полного образа файловой системы и связки ключей, где хранятся пароли и токены авторизации. Не обошлось и без подводных камней: метод работает на всех моделях iPhone и iPad, на которых можно запустить iOS 26, за исключением семейства iPhone 17 и планшетов iPad на процессоре M5. Почему так получилось? Ответ — в новом методе аппаратной защиты целостности памяти, который появился в чипах A19 и M5.

Memory Integrity Enforcement

Ненадолго отвлечёмся от iOS Forensic Toolkit и разберём, что такое Memory Integrity Enforcement (MIE). По сути, это новый механизм аппаратной защиты, встроенный в процессоры A19 и M5 на аппаратном уровне. Исторически около 70% всех серьёзных эксплойтов опирались на уязвимости, основанные на тех или иных повреждениях памяти — таких как переполнение буфера или использование уже освобождённой памяти (use-after-free). MIE создали специально, чтобы закрыть эти векторы атак, жёстко контролируя выделение и использование памяти на уровне самого процессора.

В основе этого механизма лежит расширение Enhanced Memory Tagging Extension (EMTE). Работает оно так: при выделении каждого нового участка памяти система присваивает ему секретный 4-битный тег. Аппаратная часть строго следит за тем, чтобы смежные участки всегда имели разные теги. Если вредоносный код пытается «перелиться» за пределы своего буфера и записать данные в соседний процесс, процессор тут же фиксирует физическое несовпадение тегов. То же самое происходит при атаках use-after-free: попытка обратиться к уже перераспределённой памяти со старым тегом немедленно распознается как атака и тут же блокируется.

Главная особенность MIE заключается в строгом синхронном режиме проверок. Любое несовпадение тегов мгновенно вызывает исключение ровно на той инструкции, которая нарушила правила доступа. Скомпрометированный процесс завершается моментально; нет ни малейшего лага, во время которого эксплойт мог бы успеть получить контроль. Это полностью лишает разработчиков эксплойтов того временного зазора, который раньше позволял на лету подстраивать атаки, и ломает механизм создания сложных цепочек уязвимостей.

Агент-экстрактор и iOS 26

Вернёмся к iOS Forensic Toolkit и низкоуровневому извлечению агентом.

Что такое агент-экстрактор? По сути, это компактное приложение собственной разработки, созданное специально для низкоуровневого извлечения данных из iPhone и iPad. После установки на исследуемое устройство оно задействует набор актуальных уязвимостей, чтобы совершить «побег из песочницы». Для этого всегда применяется сложная цепочка эксплойтов. Современные защитные механизмы Apple выстроены так, что использовать одну изолированную уязвимость уже давно недостаточно; для успешного обхода защиты требуется последовательно преодолеть несколько этапов.

Успешно вырвавшись из изолированной среды, агент шаг за шагом повышает свои привилегии в системе. Его главная цель — получить доступ к корню файловой системы и ключам шифрования. Как только эти барьеры сняты, приложение устанавливает стабильный канал связи с компьютером и начинает передавать извлечённые данные напрямую в iOS Forensic Toolkit для дальнейшего анализа.

Разобравшись в принципах работы агента-экстрактора и новой защиты от Apple, легко понять и то, почему в новой версии инструментария iOS 26 поддерживается на всех устройствах, кроме собранных на чипах A19 и M5. Работа агента зависит от цепочек эксплойтов, которые опираются на уязвимости, связанные с повреждением памяти — именно они позволяют повысить привилегии и обойти системные ограничения. На устройствах предыдущих поколений (с процессорами до A19), даже если на них установлена iOS 26, эти цепочки успешно срабатывают. Но на моделях семейства iPhone 17 и планшетах iPad с чипом M5 в дело вступает технология MIE, которая блокирует такие эксплойты на аппаратном уровне.

Мы работаем над решением проблемы, исследуем варианты и ищем подходы. Надеемся, что в итоге у нас всё получится — предпосылки для этого есть, но не будем забегать вперёд. С одной стороны, проблема пока не стоит в полный рост: устройств именно на первых версиях системы — iOS 26 и 26.0.1 — относительно немного; нам пришлось приложить усилия, чтобы найти несколько экземпляров для тестирования. С другой — рано или поздно появятся новые эксплойты для других версий iOS 26, и тогда вопрос обхода MIE станет уже критичным.