В последнем обновлении iOS Forensic Toolkit мы добавили поддержку низкоуровневого извлечения iOS 26 и 26.0.1. В новой версии инструментария доступно извлечение полного образа файловой системы и связки ключей, где хранятся пароли и токены авторизации. Не обошлось и без подводных камней: метод работает на всех моделях iPhone и iPad, на которых можно запустить iOS 26, за исключением семейства iPhone 17 и планшетов iPad на процессоре M5. Почему так получилось? Ответ — в новом методе аппаратной защиты целостности памяти, который появился в чипах A19 и M5.

Эксплойт checkm8, появившийся несколько лет назад, произвёл переворот в мобильной криминалистике. Впервые специалисты получили верифицируемый доступ к файловой системе множества устройств Apple. В индустрии использование эксплойта загрузчика быстро стало стандартом низкоуровневого извлечения. На выходе получался архив tar с копией файловой системы устройства. Это удобно — с tar умеют работать почти все инструменты; но у этого метода есть недостатки. tar — довольно старый «ленточный» формат, разработанный задолго до появления современных файловых систем с их метаданными и разрежёнными файлами. Мы разработали более совершенный метод, который извлекает из устройства не копию файловой системы, а точный образ диска.

В статье «Защита украденного устройства» — новая проблема для криминалистов мы рассмотрели влияние системных настроек iOS на возможность извлечения данных из защищённых iPhone, и пришли к выводу, что даже известный код блокировки больше не является гарантией успеха. В качестве альтернативы мы предложили вариант с ручным осмотром устройства. Как его правильно проводить и какую информацию можно, а какую — нельзя получить таким образом?

Совсем скоро на экранах ваших телевизоров! Наши разработчики впервые успешно извлекли полный образ файловой системы из телеприставки Apple TV 4K, работающей под управлением последней версии tvOS 26. Это стало первым в истории низкоуровневым извлечением из операционной системы Apple 26-го поколения — семейства, в которое также входят iOS 26, iPadOS 26, watchOS 26 и audioOS 26. Ранее этого не удавалось добиться никому — даже крупнейшим игрокам на рынке цифровой криминалистики!

Наши клиенты часто спрашивают, какие именно версии iOS поддерживает iOS Forensic Toolkit. Формально поддерживаются все, но есть нюанс, и не один. Точный ответ на этот вопрос зависит от множества причин, но для начала нужно ответить на другой, более фундаментальный вопрос: а что такое, собственно, «поддержка»?

В недавнем обновлении iOS Forensic Toolkit мы добавили поддержку новых-старых версий ОС от Apple, работающих на ряде моделей с чипами, в которых существует уязвимость загрузчика checkm8. В список не вошёл ни один iPhone — просто потому, что Apple давно прекратил поддержку старых iPhone в новых версиях iOS. А вот старые iPad, Apple TV и HomePod получили и продолжают получать обновления. Об этом и о том, как извлечь данные из этих устройств — в сегодняшней статье.

Представьте ситуацию: из iPhone извлечены все доступные данные (логическим или низкоуровневым способом); устройство выключено и на время отложено. Спустя месяц извлечение повторяется, но заметной доли данных в резервной копии или образе файловой системы просто не оказалось. Какие категории данных могут исчезнуть со временем, почему так происходит и можно ли как-то предотвратить этот процесс? Попробуем разобраться.

Перед вами — пятая часть серии Perfect Acquisition о технологии «идеального извлечения». Если вы пропустили предыдущие части, рекомендуем ознакомиться с ними — в них описано, как мы пришли к «идеальному» извлечению. Сегодня же мы расскажем о том, как эта технология работает в случаях, когда на устройстве вместо файловой системы HFS установлена APFS.

Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

Эксперт получает на исследование смартфон — относительно свежий iPhone, разумеется, зашифрованный, с Secure Enclave, неизвестным кодом блокировки и заблокированным доступом через USB. Никакие универсальные средства не помогают, checkm8 давно неприменим. Всё — тупик? Совсем нет. Не существует «сферических iPhone в вакууме». Смартфон — часть экосистемы, и если копать вглубь, можно отыскать лазейку. О слабых звеньях в экосистеме Apple — в этой статье.