В последнем обновлении iOS Forensic Toolkit мы добавили поддержку низкоуровневого извлечения iOS 26 и 26.0.1. В новой версии инструментария доступно извлечение полного образа файловой системы и связки ключей, где хранятся пароли и токены авторизации. Не обошлось и без подводных камней: метод работает на всех моделях iPhone и iPad, на которых можно запустить iOS 26, за исключением семейства iPhone 17 и планшетов iPad на процессоре M5. Почему так получилось? Ответ — в новом методе аппаратной защиты целостности памяти, который появился в чипах A19 и M5.

В предыдущей версии iOS Forensic Toolkit агент-экстрактор научился работать с iOS 18.7.1 — на iPhone и iPad на чипах А, а сегодня мы добавили поддержку планшетов с iPadOS на архитектуре M (Apple M1, M2, M3, M4). Работу немного затормозили особенности распределения памяти в старших моделях iPad Pro на 1 и 2 ТБ, оснащённых 16 ГБ оперативной памяти, но нам удалось обойти и эту проблему.

iOS Forensic Toolkit обновился до десятой версии. Мы заметно расширили возможности низкоуровневого извлечения как для агента-экстрактора, так и для checkm8. Агент-экстрактор получил поддержку всех версий iOS/iPadOS 16 и 17, а также поддержку ряда версий iOS 18; для checkm8 теперь есть поддержка всех последних обновлений ОС от Apple на уязвимых устройствах. Наконец, мы улучшили расширенное логическое извлечение для iOS/iPadOS 26 — теперь этот метод вытягивает гораздо больше данных из категории shared files.

Последнее обновление iOS Forensic Toolkit решает давнюю проблему, связанную с установкой и использованием агента-экстрактора для низкоуровневого извлечения данных. В версии 8.70 мы внедрили ключевое улучшение: теперь можно установить и запустить агент-экстрактор в режиме офлайн, используя любой аккаунт Apple Developer независимо от даты его создания. Подробнее о проблеме и её решении — в этой статье.

Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.

О программе Apple для разработчиков в контексте мобильной криминалистики мы писали неоднократно. Учётная запись Apple ID нужна для установки на исследуемое устройство агента-экстрактора, позволяющего получить доступ к файловой системе и связке ключей. В руководстве к iOS Forensic Toolkit мы усиленно рекомендуем зарегистрировать учётную запись в качестве разработчика. В чём смысл этой регистрации, для чего эксперту-криминалисту нужно становиться «зарегистрированным разработчиком» и можно ли без этого обойтись?

В анонсированном обновлении iOS 17.4 на территории стран ЕС появится возможность установки сторонних магазинов приложений, через которые пользователи смогут устанавливать, а разработчики — распространять приложения, минуя официальный App Store. Apple внесла соответствующие изменения в политики App Store, предоставив разработчикам новые API и механизмы для дистрибуции приложений. Окажут ли новые правила компании влияние на работу экспертов-криминалистов? Попробуем разобраться.

В настоящем руководстве приведены подробные инструкции по установке и настройке агента-экстрактора. Агент-экстрактор — составная часть iOS Forensic Toolkit, предназначенная для низкоуровневого доступа и извлечения образа файловой системы и связки ключей из совместимых устройств Apple.

Elcomsoft iOS Forensic Toolkit был и остаётся одним из самых мощных инструментов для экспертов-криминалистов по извлечению данных из мобильных устройств Apple. В очередном обновлении мы расширили поддержку версий iOS, с минимальной задержкой добавив возможность полноценного низкоуровневого извлечения из современных iPhone и iPad, работающих под управлением iOS вплоть до версии 16.5 включительно.

Процесс низкоуровневого извлечения данных из iPhone и iPad требует установки на устройство специальной программы — агента-экстрактора. Агент чрезвычайно прост в использовании, но после последних изменений на стороне Apple его установка стала вызывать проблемы даже у опытных пользователей. В этой статье мы описываем вариант решения — прошивку для Raspberry Pi 4, превращающую устройство в функциональный файрволл, который позволяет верифицировать цифровую подпись агента, блокируя попытки доступа подключённого iPhone к интернету.