取证软件开发人员Elcomsoft已更新了其iOS工具集,从而能够从运行iOS 12的iPhone到iOS 13.3提取钥匙串元素,并能够从禁用和锁定的iPhone中获取部分钥匙串数据,这些钥匙在打开后尚未解锁。
Elcomsoft的iOS取证工具包的更新使该软件的版本升至5.21,并且主要允许从iOS钥匙串中部分提取数据,该钥匙串用于存储应用程序和在线服务的凭据。根据更新,安全公司声称它可以在iOS 12至iOS 13.3的iOS设备上完成。
受影响的设备列表包括从iPhone 5s到iPhone X的iPhone,以及从iPad mini 2到2018 iPad的所有iPad型号,iPad 10.2,第一代iPad Pro 12.9和iPad Pro 10.5。具体来说,它适用于使用Apple自行设计的SoC的型号,从A7到A11。
更新的重点是在所谓的“首次解锁之前”(BFU)状态下从自开机后尚未成功解锁的设备获取数据。开机后,iPhone会保持完全加密状态,直到输入屏幕锁定密码为止,这是Secure Enclave在解密文件系统之前所必需的。
根据Elcomsoft的说法,“几乎所有内容”都将保持加密状态,直到用户在启动后用密码解锁iPhone为止,这是该公司针对该工具包的目标。它发现一些钥匙串项目包含电子邮件帐户的身份验证凭据,并且某些身份验证令牌在处于BFU状态时可以访问,以允许iPhone在输入代码之前正确启动。
为此,该工具箱需要安装一个称为“ checkra1n”的越狱软件,该软件使用了Apple bootrom中的漏洞。越狱本身通过设备固件升级(DFU)模式安装,并且无论设备的BFU状态及其锁定状态如何均可使用。
Elcomsoft的iOS取证工具包旨在供执法人员使用,其方式与Cellebrite和其他公司提供的服务类似,尽管企业甚至个人也可以使用。该公司在Windows和macOS版本中的销售价格均为1,495美元起。
以某种方式访问数据的工具的存在可能与某些人有关,但与此同时,它在如何影响正常用户方面受到相对限制。例如,该工具箱需要对目标设备的物理访问,因此不能远程使用它,也不能作为恶意行为者广泛攻击的一部分,而软件成本却不利于希望将其用于恶意目的的个人。
Elcomsoft的工具过去曾被用于非法行为,其中包括最著名的“ Celebgate”黑客攻击,该工具曾被用来获取iCloud帐户,然后对其进行搜索以查找照片。
除了从锁定状态访问数据外,该工具包还提供其他服务,包括访问所有受保护的信息,包括SMS和电子邮件,呼叫历史记录,联系人,Web浏览历史记录,语音邮件,帐户凭据,地理位置历史记录,即时消息对话,应用程序-具体数据,以及原始的纯文本Apple ID密码。