外媒报道称,取证软件开发商 Elcomsoft 刚刚更新了自家的 iOS 工具包,能够从运行 iOS 12 到 iOS 13.3 的 iPhone 设备上、在未解锁的情况下提取部分数据。最新的 5.21 版本,主要升级了对 iOS Keychain 元素的提取,用于存储应用程序和在线服务的凭据,受影响机型从 iPhone 5s 和 iPhone X、iPad mini 2 到 2018 款全系平板、iPad 10.2、初代 iPad Pro 12.9、以及 iPad Pro 10.5 。
(图自:Apple,via Apple Insider)
具体来说,Elcomsoft 5.21 适用于采用苹果 A7 到 A11 SoC 的设备。更新重点在于所谓的“首次解锁前”(BFU)状态 —— 此事设备自开机后,尚未进行过一次成功的解锁。
开机后,iPhone 会保持完全加密状态,直到输入锁屏密码,这是 Secure Enclave 在解密文件系统之前所必需的,然而 Elcomsoft 工具包瞄准的就是这种状况。
其发现某些 Keychain 项目中包含了电子邮件账户的身份验证凭据,且有些身份验证令牌竟可在处于 BFU 状态时被访问,从而允许 iPhone 在输入锁屏密码前正确启动。
为此,Elcomsoft 工具箱需要安装一款名叫“checkra1n”的越狱软件,其利用了苹果 bootrom 中的漏洞。
越狱本身通过设备固件升级(DFU)模式安装,无论设备 BFU 状态、以及是否处于锁定状态,均可拿来使用。
Elcomsoft 声称,其旨在向执法人员提供 iOS 取证工具,使用方式上与 Cellebrite 等公司提供的服务类似。
但是显然,企业与个人也可轻易利用 Elcomsoft 公司的工具,目前 Windows 和 macOS 版本的售价均为 1495 美元起。
受限于越狱方式,这款工具只能在物理接触到目标设备时使用,因而无法用于广泛的攻击。此外软件的高昂成本,也能够将部分恶意人士阻挡在门外。
当然,这只是一个理想的状况。此前 Elcomsoft 工具曾被用于非法行为,包括臭名昭著的“Celebgate”黑客事件(攻破 iCloud 账户并检索照片)。
除了从未解锁的 iOS 设备上访问数据,Elcomsoft 取证工具还提供了其它服务,比如访问所有受保护的信息(包括短信和电子邮件)、呼叫历史记录、联系人、网页浏览历史记录、语音邮件、帐户凭据、地理位置历史记录、即时消息会话、应用程序的具体数据、以及原始的纯文本 Apple ID 密码等。
