В анонсированном обновлении iOS 17.4 на территории стран ЕС появится возможность установки сторонних магазинов приложений, через которые пользователи смогут устанавливать, а разработчики — распространять приложения, минуя официальный App Store. Apple внесла соответствующие изменения в политики App Store, предоставив разработчикам новые API и механизмы для дистрибуции приложений. Окажут ли новые правила компании влияние на работу экспертов-криминалистов? Попробуем разобраться.

В настоящем руководстве приведены подробные инструкции по установке и настройке агента-экстрактора. Агент-экстрактор — составная часть iOS Forensic Toolkit, предназначенная для низкоуровневого доступа и извлечения образа файловой системы и связки ключей из совместимых устройств Apple.

Elcomsoft iOS Forensic Toolkit был и остаётся одним из самых мощных инструментов для экспертов-криминалистов по извлечению данных из мобильных устройств Apple. В очередном обновлении мы расширили поддержку версий iOS, с минимальной задержкой добавив возможность полноценного низкоуровневого извлечения из современных iPhone и iPad, работающих под управлением iOS вплоть до версии 16.5 включительно.

Процесс низкоуровневого извлечения данных из iPhone и iPad требует установки на устройство специальной программы — агента-экстрактора. Агент чрезвычайно прост в использовании, но после последних изменений на стороне Apple его установка стала вызывать проблемы даже у опытных пользователей. В этой статье мы описываем вариант решения — прошивку для Raspberry Pi 4, превращающую устройство в функциональный файрволл, который позволяет верифицировать цифровую подпись агента, блокируя попытки доступа подключённого iPhone к интернету.

В состав Elcomsoft iOS Forensic Toolkit 8.20 для Mac и 7.80 для Windows вошёл новый механизм низкоуровневого доступа, позволяющий извлекать части файловой системы из устройств Apple последних поколений. Что такое «частичное» извлечение, какие данные можно, а какие — нельзя извлечь и каким способом можно получить доступ к недостающей информации? Подробности «частичного» извлечения файловой системы — в этой статье.

Низкоуровневое извлечение файловой системы и расшифровка связки ключей из мобильных устройств Apple посредством агента-экстрактора требует установки на устройство специального приложения. Сделать это достаточно непросто: устанавливаемое приложение должно быть подписано корректной цифровой подписью, которая должна быть верифицирована на сервере Apple.

Для чего нужен и как работает агент-экстрактор из состава iOS Forensic Toolkit? Чем извлечение посредством агента-экстрактора отличается от checkm8, можно ли их использовать на одном устройстве и нужно ли это делать? Наконец, как правильно использовать агента, чтобы извлечь из устройства максимальное количество данных без лишнего риска?

Мы продолжаем работу над следующим крупным обновлением iOS Forensic Toolkit, но корректно реализовать извлечение через эксплойт загрузчика — исключительно непростая задача. В очередной бета-версии мы добавили поддержку свежих версий iOS (до 15.4.1 включительно) и повысили стабильность работы эксплойта. Тем временем в основной версии продукта мы добавили поддержку iOS 15.1.1 для всех устройств, включая актуальную линейку iPhone 13. О том, как извлечь образ файловой системы из iPhone 13 — в этой статье.

Для полного извлечения файловой системы из устройств Apple крайне желательно иметь учётную запись разработчика, но на компьютерах под управлением macOS есть возможность использовать и обычные. Использование учётной записи Apple ID, не принадлежащей разработчику, сопряжено с определёнными рисками и ограничениями. В частности, необходимо подтвердить цифровую подпись агента извлечения на исследуемом iPhone, для чего требуется подключить телефон к Интернету. В этой статье мы расскажем, как установить агент-экстрактор и верифицировать подпись с обычного Apple ID безопасным образом.

Больше года назад мы уже публиковали информацию о мобильных устройствах Apple, сведённую в таблицу; см. Памятку по мобильным устройствам Apple. С тех пор вышла череда обновлений, информация о доступных методах извлечения в известной мере утратила актуальность.