מפתחת התוכנה הפורנזית Elcomsoft עדכנה את ערכת הכלים שלה עבור iOS כדי לאפשר חילוץ של רכיבי Keychain ממכשירי אייפון עם iOS 12 עד iOS 13.3, עם היכולת לרכוש נתוני Keychain חלקיים ממכשירי אייפון מושבתים ונעולים שטרם נפתחו לאחר הפעלתם.
הלְעַדְכֵּןלערכת iOS Forensics של Elcomsoft מביאה את התוכנה לגרסה 5.21, ובעיקר מאפשרת חילוץ חלקי של נתונים מ-iOS Keychain, המשמש לאחסון אישורים עבור אפליקציות ושירותים מקוונים. לפי העדכון, חברת האבטחה טוענת שניתן לבצע זאת במכשירי iOS החל מ-iOS 12 ועדiOS 13.3.
רשימת המכשירים המושפעים כוללת מכשירי אייפון מהאייפון 5s ועדאייפון X, וכל דגמי האייפד מהאייפד מיני 2 ועד האייפד 2018, האייפד 10.2, הדור הראשון של האייפד פרו 12.9 והאייפד פרו 10.5. באופן ספציפי, הוא מתפקד עבור דגמים המשתמשים ב-SoC בעיצוב עצמי של אפל, מה-A7 ועד ל-A11.
עיקר העדכון הוא רכישת נתונים ממכשיר שלא נפתח בהצלחה מאז שהודלק, במצב שנקרא "לפני פתיחה ראשונה" (BFU). לאחר ההפעלה, אייפון נשמר מוצפן במלואו עד להזנת קוד סיסמה של נעילת מסך, דבר שנדרש על ידי ה-Secure Enclave לפני פענוח מערכת הקבצים.
לפי Elcomsoft, "כמעט הכל" נשאר מוצפן עד שהמשתמש פותח את האייפון עם קוד הסיסמה לאחר האתחול, ואת השאר היא מכוונת עם ערכת הכלים. הוא מצא כמה פריטי מחזיק מפתחות המכילים אישורי אימות עבור חשבונות דואר אלקטרוני וכמה אסימוני אימות זמינים לגישה במצב BFU, כדי לאפשר לאייפון להפעיל כראוי לפני הזנת הקוד.
כדי להשיג זאת, ערכת הכלים דורשת התקנה של פריצת jail המכונה "checkra1n", אשר משתמשת בפרצות ב-Apple bootrom. ה-Jailbreak עצמו מותקן באמצעות מצב שדרוג קושחה (DFU) של מכשיר וניתן להשתמש בו ללא קשר למצב ה-BFU של המכשיר ולמצב הנעילה שלו.
ממשק iOS Forensic Toolkit של Elcomsoft
ערכת הכלים הפורנזיים של iOS של Elcomsoft מיועדת לשימוש על ידי רשויות אכיפת החוק, באופן דומה לשירותיםמסופק על ידי Cellebriteואחרים, אם כי הם זמינים גם לעסקים ואפילו לאנשים פרטיים. החברה מוכרת את החבילה החל מ-$1,495 בגרסת Windows וגם ב-macOS.
קיומו של כלי לגישה לנתונים באופן זה עשוי להדאיג חלק, אך יחד עם זאת הוא מוגבל יחסית מבחינת האופן שבו הוא יכול להשפיע על משתמשים רגילים. לדוגמה, ערכת הכלים דורשת גישה פיזית למכשיר היעד, כך שלא ניתן להשתמש בה מרחוק או כחלק מהתקפה נרחבת של שחקן רע, בעוד שעלות התוכנה מהווה גורם מונע מאנשים המעוניינים להשתמש בה למטרות זדוניות.
הכלים של אלקומסופט שימשו לפעולות בלתי חוקיות בעבר, כולל המפורסם ביותרפריצת "סלבגייט"., שם הוא שימש לרכישת חשבונות iCloud שלאחר מכן חיפשו תמונות מתפשרות.
מלבד גישה לנתונים ממצב נעול, ערכת הכלים מספקת גם שירותים אחרים, כולל גישה לכל המידע המוגן כולל SMS ודוא"ל, היסטוריית שיחות, אנשי קשר, היסטוריית גלישה באינטרנט, דואר קולי, אישורי חשבון, היסטוריית מיקום גיאוגרפי, שיחות הודעות מיידיות, יישומים- נתונים ספציפיים, וסיסמת ה-Apple ID המקורית בטקסט רגיל.
