В обновлении Elcomsoft iOS Forensic Toolkit 5.20 появилась возможность извлечения образа файловой системы и расшифровки Связки ключей независимо от версии iOS. Новая возможность работает на ряде устройств (от iPhone 5s до iPhone X включительно) благодаря джейлбрейку checkra1n.

Elcomsoft iOS Forensic Toolkit 5.20 получил крупное обновление, открывающее возможность физического извлечения данных из ряда устройств iPhone и iPad, работающих под управлением любых версий iOS вплоть до актуальной сборки iOS 13. Поддерживаются все совместимые устройства, для которых доступен джейлбрейк checkra1n, куда входят все устройства, собранные на платформах Apple A7, A8, A9, A10 и A11.

В список поддерживаемых устройств включены все модели iPhone от iPhone 5s вплоть до iPhone 8, 8 Plus и iPhone X. Поддерживаются и модели iPad, собранные с использованием микросхем соответствующих поколений. Совместимые модели iPad включают все устройства от iPad mini 2 до моделей iPad 2018, iPad 10.2, iPad Pro 12.9 (1 поколения) и iPad Pro 10.5. Кроме того, iOS Forensic Toolkit 5.20 поддерживает Apple TV HD (ATV4) и Apple TV 4K.

В новой версии EIFT доступно извлечение полного образа файловой системы устройств, для которых код блокировки известен или не установлен. Впервые со времён iPhone 4 стала доступна процедура частичного извлечения файловой системы для заблокированных устройств и устройств, которые находятся в защитном режиме USB restricted mode. Прямой доступ к файловой системе позволяет извлекать информацию из защищённых областей данных приложений, системные журналы и журнал истории местоположения пользователя.

Для устройств с известным кодом блокировки доступна расшифровка Связки ключей keychain, в которой содержатся сохранённые пользователем пароли от учётных записей и маркеры аутентификации.

Процедура установки новой утилиты джейлбрейка кардинально отличается от процедур, использовавшихся ранее. Дополнительная информация и руководство по установке джейлбрейка checkra1n – в нашем блоге: iOS Device Acquisition with checkra1n Jailbreak

Кроме того, iOS Forensic Toolkit 5.20 теперь автоматически вводит пароль root-доступа при запросе системы. Если пользователь самостоятельно изменит пароль по умолчанию, ручной ввод пароля доступен по-прежнему.

Список изменений:

• Добавлена совместимость с джейлбрейком checkra1n, извлечение данных из актуальных версий iOS для совместимых устройств (от iPhone 5s до iPhone X включительно)
• Добавлена поддержка частичного извлечения файловой системы для заблокированных устройств и устройств в защитном режиме USB restricted mode
• Добавлен автоматический ввод пароля root-доступа