Die neunte Beta des Elcomsoft iOS Forensic Toolkit 8.0 für Mac bringt eine forensisch einwandfreie, checkm8-basierte Extraktion bei zehn iPad- und vier iPod-Touch-Modellen sowie zwei Apple-TV-Modellen. Die Low-Level-Extraktionslösung ist für die meisten Geräte direkt verfügbar, wobei ausgewählte Modelle ein Raspberry Pi Pico-Board erfordern, um den Exploit anzuwenden.
Elcomsoft iOS Forensic Toolkit 8.0 Beta 9 für Mac erweitert die Palette der unterstützten Geräte und ermöglicht Low-Level-Extraktions-Unterstützung für eine Vielzahl von iPad- und iPod Touch-Modellen. Die aktualisierte Extraktions-Engine kann nun mit allen iPad- und iPod Touch-Modellen umgehen, die für den checkm8-Exploit anfällig sind, und unterstützt alle iOS-Versionen, die mit dem Gerät kompatibel sind, bis einschließlich iOS 15.5. Der forensisch fundierte Extraktions-Prozess ist für die meisten Geräte direkt verfügbar, wobei ausgewählte Modelle ein Raspberry Pi Pico-Board mit bestimmter Firmware erfordern, um den checkm8-Exploit anzuwenden.
Zu den neu hinzugefügten iPad-Modellen gehören das iPad 5, 6 und 7 in voller Größe, das iPad Mini 2, 3 und 4, das iPad Air 1 und 2 sowie das iPad Pro 1 und 2 (jeweils 9,7-Zoll- und 12,9-Zoll-Modelle). Darüber hinaus werden auch iPod Touch 6 und 7 sowie Apple TV 4 und 4K unterstützt.
Mit dieser Version ist nun eine forensisch fundierte Datenextraktion auf Bootloader-Ebene auf mehr Apple-Geräten als je zuvor verfügbar, einschließlich aller neueren iPad- und iPod Touch-Modelle, die für checm8-Exploits anfällig sind. Die Low-Level-Extraktion ermöglicht den Zugriff auf ein viel breiteres Spektrum an Beweisen im Vergleich zur logischen Erfassung, einschließlich des detaillierten Gesundheits- und Aktivitäts-Verlaufs sowie der im Schlüsselbund gespeicherten Passwörter des Benutzers. Zusätzliche Informationen, die nun über Low-Level-Extraktion verfügbar sind, umfassen einen detaillierten Standortverlauf, Sandbox-Anwendungsdaten, verschiedene Systemartefakte und vieles mehr.
Unsere Implementierung des checkm8-Exploits bietet die bisher sauberste Extraktion. Unsere Lösung wird direkt aus der Quelle abgeleitet, wobei alle Patches vollständig im RAM durchgeführt werden. Die ursprüngliche Gerätefirmware bleibt unberührt und wird während des Bootvorgangs nicht verwendet, und weder die Systempartition noch die Benutzerdaten werden in irgendeiner Weise verändert.
Mit diesem Update erweitert das Elcomsoft iOS Forensic Toolkit die Palette der unterstützten Geräte und wird so zum fortschrittlichsten iOS-Erfassungstool auf dem Markt und zum einzigen wirklich forensisch fundierten Tool, das auch bei nachfolgenden Extraktionen wiederholbare Ergebnisse liefert.
Versionshinweise