В новой версии iOS Forensic Toolkit нам удалось обойти функцию «Защита украденного устройства»: теперь агент-экстрактор можно установить на устройства с активированной защитой, не устанавливая доверенных отношений между iPhone и рабочей станцией эксперта. Фактически, новый метод преодолевает блокировку «Защиты украденного устройства» (SDP, Stolen Device Protection), которая требует биометрии на шаге установки доверия с компьютером. Обход этого шага означает обход и самой защиты. Вам понадобятся: код блокировки устройства, платная учётная запись разработчика Apple и само устройство.
В последнем обновлении iOS Forensic Toolkit появился новый способ установки агента. Точнее, целых три способа, немного отличающихся в деталях. Объединяет их одно: все три способа используют установку агента через сеть с локального веб-сервера, который запускается на компьютере эксперта. Для чего такие сложности? Исключительно для того, чтобы обойти механизм установления доверенных отношений, который блокирует функция «Защита украденного устройства».
В Elcomsoft Phone Breaker 11.2 появилась возможность скачивать облачные резервные копии, созданные устройствами под управлением iOS и iPadOS 26 и бета-версий 27. На сегодня наш продукт — не только первое, но и единственное на рынке решение, совместимое с последними версиями мобильных ОС от Apple. Несмотря на то, что обновление выглядит рутинным, это не так: в iOS 26 Apple полностью переработала механизмы хранения и доступа к резервным копиям, что потребовало от нас не просто внести несколько исправлений, но полностью переписать весь код для доступа в облако.
Извлечение резервных копий из iCloud — одна из самых технически сложных задач в облачной криминалистике. В iCloud резервные копии не создаются в виде единого файла в фиксированном формате; они собираются из множества отдельных фрагментов, которые нужно сначала извлечь, а затем собрать из них цельную резервную копию в стандартном формате, который можно будет открыть и проанализировать стандартными средствами. Какое-то время назад разработчики Apple изменили протоколы обмена данными, и старые методы извлечения перестали работать у всех, кроме самой Apple. Нам пришлось адаптировать внутренние механизмы; подробно об этом мы писали в материале Elcomsoft Phone Breaker 11: возвращение iCloud.
Мы обновили Elcomsoft Phone Breaker до версии 11. Главной причиной масштабного обновления стали недавние фундаментальные изменения протоколов доступа к iCloud со стороны Apple, которые «сломали» доступ в облако для всех предыдущих версий программы. Для решения этой проблемы мы полностью переработали механизмы аутентификации и загрузки данных из iCloud, восстановив работоспособность облачного функционала. Впрочем, полностью решить проблему нам пока не удалось. В этой статье — о том, что случилось с облаком, как мы решили проблему, какие остались нюансы и ограничения и как их можно обойти.
iOS Forensic Toolkit обновился до десятой версии. Мы заметно расширили возможности низкоуровневого извлечения как для агента-экстрактора, так и для checkm8. Агент-экстрактор получил поддержку всех версий iOS/iPadOS 16 и 17, а также поддержку ряда версий iOS 18; для checkm8 теперь есть поддержка всех последних обновлений ОС от Apple на уязвимых устройствах. Наконец, мы улучшили расширенное логическое извлечение для iOS/iPadOS 26 — теперь этот метод вытягивает гораздо больше данных из категории shared files.
Эксплойт checkm8, появившийся несколько лет назад, произвёл переворот в мобильной криминалистике. Впервые специалисты получили верифицируемый доступ к файловой системе множества устройств Apple. В индустрии использование эксплойта загрузчика быстро стало стандартом низкоуровневого извлечения. На выходе получался архив tar с копией файловой системы устройства. Это удобно — с tar умеют работать почти все инструменты; но у этого метода есть недостатки. tar — довольно старый «ленточный» формат, разработанный задолго до появления современных файловых систем с их метаданными и разрежёнными файлами. Мы разработали более совершенный метод, который извлекает из устройства не копию файловой системы, а точный образ диска.
Линейка криминалистических продуктов нашей компании только что получила новое дополнение. Встречайте Elcomsoft Quick Triage — инструмент для быстрого поиска, отбора и анализа цифровых улик. EQT создан для использования на ранних этапах расследования, когда время ограничено и решения нужно принимать быстро. Новый инструмент не заменяет «тяжёлые» криминалистические платформы; его задача — быстрое выявление, сбор и первичная оценка значимых улик на начальных этапах.
Инструментов для снятия образов дисков существует множество. Зачем нужен ещё один? Мы изучили все популярные и несколько экзотических утилит — и не нашли ни одной идеальной. В результате мы решили разработать собственную — с учётом опыта и на основе длительных исследований различных носителей, аппаратных конфигураций и даже кабелей. Встречайте Elcomsoft Disk Imager — бесплатный инструмент для снятия образов дисков, разработанный с учётом нужд специалистов в области цифровой криминалистики.
Совсем скоро на экранах ваших телевизоров! Наши разработчики впервые успешно извлекли полный образ файловой системы из телеприставки Apple TV 4K, работающей под управлением последней версии tvOS 26. Это стало первым в истории низкоуровневым извлечением из операционной системы Apple 26-го поколения — семейства, в которое также входят iOS 26, iPadOS 26, watchOS 26 и audioOS 26. Ранее этого не удавалось добиться никому — даже крупнейшим игрокам на рынке цифровой криминалистики!