Процесс установки эксплойта checkm8, позволяющего провести криминалистически чистое извлечение данных из ряда моделей iPhone, может оказаться достаточно капризным и ненадёжным в зависимости от используемого оборудования. Мы уже писали о роли USB хабов, позволяющих повысить надёжность процесса на компьютерах Mac с Apple Silicon (чипы M1 всех поколений). Сегодня у нас появились хорошие новости.

Зачем нужен USB хаб при установке checkm8

Как уже говорилось, процесс установки эксплойта checkm8 не относится к простым и надёжным. При этом большая часть проблем легко решаема использованием правильного оборудования, начиная от выбора USB порта и кабеля и заканчивая использованием USB хаба.

Напомним, что криминалистически чистый анализ iPhone с использованием эксплойта checkm8 доступен в iOS Forensic Toolkit только на компьютерах Mac. В зависимости от платформы различаются две разновидности таких компьютеров: Mac с процессорами Intel и Mac, построенные на платформе Apple Silicon (процессоры M1 и более новые). С компьютерами на процессорах Intel всё просто: iPhone подключается к порту USB-A посредством оригинального или сертифицированного стороннего кабеля Lightning; если в компьютере есть только порты Type-C, то используется переходник с Type-C на Type-A, к которому и подключается кабель. Кабели с USB Type-C на одном конце и Lightning на другом использовать категорически не рекомендуется: идентификатор у таких кабелей изменился, и эксплойт не устанавливается. Интересно, что некоторые безымянные кабели Type-C — Lightning срабатывают; в основном это относится к самым дешёвым разновидностям без поддержки быстрой зарядки по протоколу USB-C PD. Впрочем, мы не рекомендуем использовать и такие кабели: у «безымянных» устройств производитель может отличаться от партии к партии, и вовсе не факт, что ещё один кабель с аналогичным названием и характеристиками, купленный у одного и того же продавца, заработает так же, как и первый.

Сложнее с компьютерами Mac с Apple Silicon. Некоторые модели iPhone требуют наличия USB хаба между портом на компьютере и кабелем Lightning; в противном случае эксплойт не устанавливается.

Мы провели серьёзную работу над ошибками и оптимизировали код, добившись того, что некоторые ранее не работавшие без USB хаба устройства заработали, а на компьютерах с процессорами Intel наличие или отсутствие USB хаба и вовсе перестало влиять на работоспособность. Таким образом, получается следующая таблица совместимости:

• iPhone подключается к Intel Mac: эксплойт устанавливается как с USB хабом, так и без него. В случае возникновения проблем попробуйте подключиться напрямую. Кабели с Type-C по-прежнему не поддерживаются.
• M1 (Apple Silicon) Mac: если вы используете USB hub, то эксплойт будет уверенно устанавливаться на все совместимые модели iPhone.
• M1 (Apple Silicon) Mac без USB хаба: некоторые модели iPhone потребуют переподключения (reconnect) в процессе установки эксплойта. iOS Forensic Toolkit выдаст соответствующий запрос. Достаточно отключить кабель от iPhone и подключить его снова. На некоторые модели iPhone эксплойт без хаба не установится. Список таких моделей приводится ниже.

Скоро: поддержка iPhone 7

Мы продолжаем работать над поддержкой модельного ряда iPhone, для которых существует эксплойт checkm8. Следующий на очереди стала модель iPhone 7, для которой в ближайшее время появится поддержка прямого извлечения через checkm8. Поддержка iPhone 7 появится в бета-версии iOS Forensic Toolkit, в которой будут следующие ограничения:

• iOS 10.x — 13.x: нет ограничений. Поддерживается как извлечение образа файловой системы, так и расшифровка связки ключей.
• iOS 14.x and 15.x: ограничение в том, что для извлечения образа файловой системы и расшифровки связки ключей необходимо удалить код блокировки экрана, что нарушает криминалистическую чистоту исследования. Мы работаем над способом обхода этого ограничения.