-ElcomSoft Co.Ltd。更新了iOS Forensic Toolkit,这是该公司的移动取证工具,用于从一系列Apple设备中提取数据。版本5.21添加了从部分Apple设备中提取的部分iOS钥匙串,这些设备运行的是从iOS 12到iOS 13.3的所有版本的iOS。现在,即使不知道屏幕锁定密码,也可以从处于BFU(首次解锁之前)状态的禁用和锁定的iPhone中进行部分钥匙串提取。
BFU钥匙串提取在某些Apple设备上可用,并且需要安装checkra1n越狱。受支持的设备从iPhone 5s一直到iPhone X,从iPad mini 2到iPad Pro 10.5的iPad机型以及新的iPad(2018年)。
关于iPhone BFU模式
BFU代表“首次解锁之前”。BFU设备是已关闭电源或重新启动的电话,以后再也不会通过输入正确的屏幕锁定密码解锁(甚至一次)。
在Apple的世界中,iPhone的内容将一直被安全加密,直到用户敲击屏幕锁定密码为止。Secure Enclave要求使用屏幕锁密码来生成加密密钥,然后将其用于解密iPhone的文件系统。换句话说,iPhone内的几乎所有东西都保持加密状态,直到用户在手机启动后用密码将其解锁为止。
这是ElcomSoft iOS Forensic Toolkit所针对的“一切”的“几乎”部分。该公司发现某些数据部分甚至在首次解锁之前就可以在iOS设备中使用。特别是,一些包含电子邮件帐户的身份验证凭据和许多身份验证令牌的钥匙串项目在首次解锁之前可用,以允许iPhone在用户输入密码之前正确启动。
从BFU iPhone中部分钥匙串提取
iOS Forensic Toolkit 5.21首次启用了从BFU(首次解锁之前)设备以及具有未知屏幕锁定密码的锁定设备进行iOS钥匙串取证的功能。
与解锁提取相比,新的BFU提取模式只能解锁有限数量的钥匙串记录。特别是,可以提取带有某些电子邮件帐户的身份验证凭据的记录以及许多身份验证令牌。
要以BFU模式访问钥匙串,需要安装针对Apple Bootrom中漏洞的checkra1n越狱。越狱通过DFU模式安装,并且可用于所有兼容设备,无论其BFU / AFU状态的锁定状态如何。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
