iOS Forensic Toolkit 5.20 unterstützt nun Dateisystem-Extraktion für Apple-Geräte mit checkra1n-Jailbreak

Das Elcomsoft iOS Forensic Toolkit (EIFT) wurde auf Version 5.20 aktualisiert. Es unterstützt nun die Extraktion von Dateisystemen für ausgewählte Apple-Geräte, auf denen alle Versionen von iOS 12 bis iOS 13.3 laufen. Unter Verwendung des neuen Bootrom-Exploits, das in den checkra1n-Jailbreak integriert ist, ist EIFT in der Lage, das komplette Dateisystem-Image zu extrahieren, Passwörter sowie Authentifizierungs-Daten zu entschlüsseln, die im iOS-Schlüsselbund gespeichert sind.

Elcomsoft iOS Forensic Toolkit 5.20 enthält umfangreiche Überarbeitungen, darunter ein wesentliches Merkmal und eine kleine, aber bei Anwendern willkommene Verbesserung der Benutzerfreundlichkeit. Die wichtigste Neuerung in dieser Version ist allerdings die Möglichkeit, das Dateisystem ausgewählter Apple-Geräte zu extrahieren, die alle Versionen von iOS ausführen, die von dem neuen Bootrom-Exploit unterstützt werden. iOS Forensic Toolkit 5.20 verwendet den checkra1n-Exploit, um auf das Dateisystem zuzugreifen, den Schlüsselbund zu extrahieren und zu entschlüsseln.

Die unterstützten Geräte reichen vom iPhone 5s bis hin zum iPhone 8, 8 Plus und dem aktuellen iPhone X. Apple iPads, die auf den entsprechenden CPUs laufen, werden ebenfalls unterstützt, darunter Modelle vom iPad mini 2 bis hin zum iPad 2018, das iPad 10.2, das iPad Pro 12.9 (1. Generation) sowie das iPad Pro 10.5. Darüber hinaus unterstützt das iOS Forensic Toolkit 5.20 Apple TV HD (ATV4) und Apple TV 4K.

Schließlich unterstützt das iOS Forensic Toolkit 5.20 die physische Erfassung vieler Apple-Geräte, unabhängig von der iOS-Version. Obwohl der Support für zukünftige iOS-Builds möglicherweise nicht verfügbar ist, werden nur geringfügige Änderungen erwartet, sodass ElcomSoft erwartet, Apples zukünftige iOS-Versionen ebenfalls zu unterstützen.

Ein Jailbreak ist erforderlich, um eine physische Erfassung durchzuführen. Zum ersten Mal seit dem iPhone 4 haben Jailbreak-Entwickler eine hardwaregebundene, nicht zu behebende Schwachstelle in allen Apple-Geräten entdeckt, die mit einem Apple A7, A8, A9, A10 oder A11 SoC ausgestattet sind. Im Gegensatz zu früheren Jailbreaks ist der checkra1n Jailbreak zukunftssicher: Der Exploit liegt nämlich im Bootrom, das von Apple nicht gepatcht werden kann.

Das iOS Forensic Toolkit 5.20 erfasst zum ersten Mal teilweise Informationen von BFU-Geräten (vor der ersten Freischaltung) sowie von gesperrten Geräten mit unbekanntem Passwort zur Bildschirmsperre (Screenlock Passcode). Der Jailbreak wird über den DFU-Modus (Device Firmware Update) installiert und ist für alle kompatiblen Geräte verfügbar, unabhängig davon, ob sie im BFU/AFU-Status gesperrt sind oder nicht. Schließlich ermöglicht das iOS Forensic Toolkit 5.20 die partielle Dateisystem-Extraktion für Geräte im eingeschränkten USB-Modus.

Der neue Jailbreak kann auf Geräten mit bekanntem oder unbekanntem Passwort zur Bildschirmsperre installiert werden; mehr dazu auf unserem Blog (in Englisch): iOS Device Acquisition mit checkra1n Jailbreak

The new jailbreak can be installed on devices with known or unknown screen lock passcode; more on that in our blog: iOS Device Acquisition with checkra1n Jailbreak

Die Benutzerfreundlichkeit wurde ebenfalls verbessert. In Version 5.20 spar man sich dadurch etwas Tipparbeit. iOS Forensic Toolkit 5.20 fügt nun bei Aufforderung automatisch das Standard-Root-Passwort "alpine" auf jailbrokenden Apple-Geräten ein. Wenn das Passwort geändert wurde, können Benutzer es weiterhin manuell eingeben.

Versionshinweise:

  • Dateisystem-Extraktion und Schlüsselbund-Entschlüsselung für ausgewählte Apple-Geräte, die vom Jailbreak "checkra1n" unterstützt werden (iPhone 5s bis iPhone X; iOS bis 13.2.3 Beta)
  • UI-Verbesserung: Das Standard-Root-Passwort wird nun automatisch eingetragen, wenn Sie dazu aufgefordert werden.
  • Fix: Einige Pairing-Probleme mit Lockdown-Datensätzen wurden behoben.

Siehe auch