Эксперт получает на исследование смартфон — относительно свежий iPhone, разумеется, зашифрованный, с Secure Enclave, неизвестным кодом блокировки и заблокированным доступом через USB. Никакие универсальные средства не помогают, checkm8 давно неприменим. Всё — тупик? Совсем нет. Не существует «сферических iPhone в вакууме». Смартфон — часть экосистемы, и если копать вглубь, можно отыскать лазейку. О слабых звеньях в экосистеме Apple — в этой статье.

Извлечение данных — одна из самых сложных задач в работе специалиста по мобильной криминалистике. Получить информацию из устройств iPhone или iPad можно несколькими разными способами. Какой из них использовать? Ответ зависит как от того, работаете ли вы с «динозавром» iPhone 5s или пытаетесь извлечь данные из свежего iPhone 16 Pro Max, так и от ряда сопутствующих условий, многие из которых неочевидны. У каждого способа свои достоинства и свои особенности, ограничения и подводные камни. В этой статье мы сравним основные методы извлечения данных из устройств Apple.

В анонсированном обновлении iOS 17.4 на территории стран ЕС появится возможность установки сторонних магазинов приложений, через которые пользователи смогут устанавливать, а разработчики — распространять приложения, минуя официальный App Store. Apple внесла соответствующие изменения в политики App Store, предоставив разработчикам новые API и механизмы для дистрибуции приложений. Окажут ли новые правила компании влияние на работу экспертов-криминалистов? Попробуем разобраться.

В очередном обновлении политики iOS App Store американским разработчикам разрешено использовать сторонние платёжные системы. С одной стороны, это предоставит пользователям  дополнительный способ оплаты; с другой — компания Apple не собирается отказываться от своих комиссионных с продаж через сторонние платёжные системы, уменьшив размер стандартной комиссии всего на 3 процентных пункта.

Что превращает извлечённые из телефона данные в цифровые улики, а улики — в доказательства? В рамках состязательного судебного процесса в роли доказательств могут выступать лишь такие улики, подлинность которых можно доказать, а корректность извлечения — проверить у независимого эксперта. О доказательстве подлинности цифровых данных и о том, как обеспечить повторяемость извлечения, мы и поговорим в сегодняшней статье.

В преддверии Нового Года мы обновляем iOS Forensic Toolkit, инструмент для низкоуровневого извлечения данных из мобильных устройств Apple. В обновлении добавлена поддержка checkm8 для iOS, iPadOS и tvOS 16.2. В отдельной ветке продукта восстановлена возможность установки агента-экстрактора на мобильные устройства Apple с компьютеров под управлением Windows, в поддержка агента расширена до версии iOS 15.5.

С выходом iOS 16 изменилось многое. Пользователи получили дополнительные инструменты контроля за тем, кто и когда может получать доступ к персональной информации, а эксперты-криминалисты – дополнительную головную боль, связанную с усилением безопасности устройств. О том, что изменится в работе экспертов-криминалистов с выходом iOS 16 – в этой статье.

Связка ключей — важная часть экосистемы Apple, встроенная в операционные системы iOS/iPadOS и macOS. В связке ключей пользователи могут сохранять данные для входа на сайты и в приложения, включая логины, пароли и секреты двухфакторной аутентификации. Но ценность связки ключей для эксперта-криминалиста не ограничивается одними паролями: в ней хранятся и ключи шифрования от безопасных мессенджеров, и маркеры аутентификации, использующиеся для автоматического входа на некоторые ресурсы.

В девятой бета-версии iOS Forensic Toolkit 8.0 для Mac появилась поддержка криминалистически чистого извлечения для ряда моделей iPad, iPod Touch и Apple TV, работающих под управлением всех версий iOS до 15.5 включительно.

С выходом новой операционной системы iOS 15 у пользователей появился ряд новых возможностей, с полным списком которых можно ознакомиться по ссылке. С точки зрения криминалистического анализа интерес представляет возможность создания и хранения в облаке iCloud временных резервных копий, предназначенных для переноса данных на новый iPhone. На такие резервные копии не распространяются квоты на дисковое пространство, но срок их жизни ограничен. Тем не менее, такие резервные копии являются ценным источником данных при извлечении данных из облака.