«Защита украденного устройства» в её текущей реализации кардинально меняет правила игры для криминалистов. С точки зрения специалиста, функция делает простую вещь: требует Face ID или Touch ID для того, чтобы установить привязку устройства к компьютеру. Даже зная код блокировки, но не имея возможности авторизовать процедуру по лицу или отпечатку пальца владельца, привязать iPhone к рабочей станции для извлечения данных из него больше не выйдет. С весны 2026 года Apple включает эту защиту прямо «из коробки»; мы же готовим решение по её обходу, позволяющее установить и использовать агент-экстрактор при активной защите.

Что изменилось?

«Защита украденного устройства» появилась ещё в iOS 17.3, которая вышла в начале 2024 года. Мы уже писали о ней в статье «Защита украденного устройства» — новая проблема для криминалистов. Почему мы вернулись к этой теме? Причина — в недавнем изменении, которое произошло с выходом iOS 26.4 в конце марта 2026 года. Начиная с этой версии iOS «Защита украденного устройства» активируется автоматически при настройке, восстановлении или обновлении устройства. Если до марта этого года с «Защитой украденного устройства» специалисты сталкивались эпизодически (её нужно было активировать в настройках вручную, и далеко не все пользователи это делали), то теперь устройства, защищённые этой функцией, будут встречаться всё чаще и чаще.

Как работает защита

Система включает ряд ограничений, как только телефон отдаляется от «знакомых мест» (как правило — дома или работы, но официально Apple не разглашает правил, по которым формируются списки таких локаций). В условиях лаборатории, когда телефон изъят у подозреваемого, эти ограничения будут срабатывать всегда.

За это отвечают два механизма:

• Только биометрия — и никаких запасных вариантов. Для части действий (например, подтверждения сопряжения с ПК) iOS примет только скан лица или отпечаток пальца. Ввести код блокировки система не предложит. Это — важное дополнение к стандартному протоколу безопасности Apple, который всегда (до появления «Защиты украденного устройства») позволял использовать код блокировки, если биометрическая аутентификация по какой-то причине не срабатывала. Включение функции блокирует «запасной вариант» в виде ввода кода блокировки.
• Системная задержка. При попытке изменить ключевые настройки (сбросить пароль от учётной записи, отключить саму защиту) система запрашивает биометрию, ждёт один час, и затем запрашивает биометрию повторно. Настройка «Всегда» заставит ждать этот час даже в «знакомых местах».

Нюанс: На iPad (вплоть до версии iPadOS 26.4) такой защиты нет, поэтому планшеты можно исследовать по старым правилам. Сама защита работает исключительно на уровне операционной системы. Если используемый метод извлечения (например, через уязвимости аппаратного загрузчика старых моделей) обходит iOS — ограничения вас не коснутся.

Версии iOS

Так как в работу попадают устройства с разными версиями системы, сортировать их нужно сразу на входе. Версия сборки iOS (её можно узнать, например, через режим восстановления) подскажет, чего ожидать:

Что именно блокирует функция

Для логического извлечения защита перекрывает сразу несколько критических этапов:

• Создание нового сопряжения. Установить сопряжение (доверенное подключение) с компьютером эксперта без биометрии владельца невозможно, а без сопряжения невозможен и обмен данных через USB.
• Установка агента-экстрактора. Без сопряжения не выйдет загрузить на телефон стороннее приложение для извлечения данных — хотя бы из-за того, что невозможно установить сопряжение с рабочей станцией эксперта.
• Работа с облаком и «Локатором». Сбросить пароль от Apple ID или выключить отслеживание устройства не получится из-за часовой задержки (в том числе через браузер). Если нужны данные из облака, вам потребуется или полная аутентификация (логин, пароль, второй фактор), или официальный запрос к Apple.
• Сброс настроек. Без биометрии, часового ожидания и повторной биометрии нельзя будет сбросить настройки для удаления неизвестного пароля от локальных резервных копий. Пароль к зашифрованной резервной копии придётся перебирать, а это — медленно и без гарантии успеха.
• Доступ к паролям и клонирование на другой телефон. Посмотреть системную связку ключей напрямую с телефона или перенести данные через встроенную функцию настройки нового устройства не выйдет.

Чек-лист для лаборатории

В прошлом мы много писали о файлах lockdown (pairing record, запись сопряжения), благодаря которым существующие подключения кэшируются в течение какого-то времени (от нескольких дней до недель). Функция защиты блокирует создание новых подключений, но не обнуляет старые. Таким образом, можно попытаться подключить телефон к компьютеру подозреваемого и извлечь данные на нём — или попробовать извлечь из него запись сопряжения и использовать её для авторизации подключения уже на своём компьютере.

• Изымайте компьютеры вместе с телефонами. Создайте образ диска и извлеките директорию с записями сопряжения. Срок жизни этих ключей ограничен, поэтому действовать нужно быстро. Внимание: для использование записей сопряжения телефон всё равно придётся разблокировать (но это можно сделать кодом блокировки — не обязательно использовать именно биометрику) из-за блокировки USB порта функцией USB Restricted Mode.
• Держите телефон заряженным. Используйте экранирующие чехлы (клетки Фарадея) со сквозным питанием. Если телефон выключится и перейдёт в состояние «до первой разблокировки», старое подключение может не сработать.
• Добровольное сотрудничество. Если владелец устройства идёт навстречу, то защиту нужно отключить до изъятия устройства. Другой вариант — снять ограничение дома или на работе у владельца, чтобы сбросить гео-ограничения (если настройка активна в варианте «Away from Familial Locations», а не «Always»). Обязательно закладывайте лишний час на системную задержку.