Die siebte Beta-Version des Elcomsoft iOS Forensic Toolkit 8.0 für Mac ermöglicht die Entsperrung des Passcodes und die forensisch fundierte, checkm8-basierte Extraktion von iPhone 4s, iPad 2 und 3 Geräten. Die Low-Level-Extraktionslösung verwendet ein Raspberry Pi Pico Board, um das Exploit anzuwenden.
Elcomsoft iOS Forensic Toolkit 8.0 Beta 7 für Mac erweitert die Palette der unterstützten Geräte und ermöglicht die Entsperrung des Passcodes und die Low-Level-Extraktion für das iPhone 4s, iPad 2 und 3. Der forensisch fundierte Extraktionsprozess sowie die Möglichkeit, den Passcode für die Bildschirmsperre zu überwinden, nutzen den Mikrocontroller in Raspberry Pi Pico Boards. Das Hardware-Board wird für die Anwendung des Exploits verwendet und ermöglicht eine saubere, Bootloader-basierte Extraktion von älteren iOS-Geräten. Zukünftige Versionen werden das Pico-Board nutzen, um den Extraktions-Workflow zu optimieren, indem der Prozess der Vorbereitung des Geräts für die Extraktion vereinfacht wird.
Der checkm8-Exploit und das iPhone 4s stehen in einer komplexen Beziehung zueinander. Die Anwendung des Exploits auf ein iPhone 4s erfordert die Verwendung spezieller USB-Controller, die in Windows- oder Mac-Computern nicht ohne Weiteres verfügbar sind. Das checkm8-Entwicklerteam hatte den Exploit nur für Arduino-Boards veröffentlicht, während unsere Lösung auf dem Raspberry Pi Pico basiert. Kunden, die die iPhone 4s-Extraktion benötigen, erhalten ein eigenes Firmware-Image für das Pico-Board.
Die neue Funktionalität ebnet den Weg für nachfolgende Versionen. Wir planen, die forensisch fundierte Extraktions-Unterstützung auf Bootloader-Ebene auf weitere Apple-Geräte auszudehnen und gleichzeitig den Erfassungsprozess so zu gestalten, dass er auf Knopfdruck abläuft, was den bestehenden Arbeitsablauf erheblich vereinfacht.
Die Low-Level-Extraktion ermöglicht im Vergleich zur logischen Erfassung den Zugriff auf ein viel breiteres Spektrum an Beweisen, einschließlich des detaillierten Zustands- und Aktivitätsverlaufs sowie der im Schlüsselbund gespeicherten Kennwörter des Benutzers. Weitere Informationen, die über die Low-Level-Extraktion verfügbar sind, umfassen einen detaillierten Standortverlauf, Anwendungsdaten aus der Sandbox, verschiedene Systemartefakte und vieles mehr.
Unsere Implementierung des checkm8-Exploits bietet die bisher sauberste Extraktion. Unsere Implementierung des Bootloader-basierten Exploits ist direkt vom Quellcode abgeleitet. Die gesamte Arbeit wird vollständig im RAM ausgeführt, und das auf dem Gerät installierte Betriebssystem bleibt unberührt und wird während des Bootvorgangs nicht verwendet.
Mit diesem Update wird die Palette der unterstützten Geräte ausgebaut. Das Elcomsoft iOS Forensic Toolkit ist das fortschrittlichste iOS-Erfassungstool auf dem Markt und das einzige wirklich forensisch fundierte Tool, das nach weiteren Extraktionen wiederholbare Ergebnisse liefert.
Release Notes