取证软件开发商Elcomsoft更新了iOS工具集，可以从运行iOS 12到iOS 13.3的iphone中提取钥匙串元素，从被禁用和锁定的iphone中获取一些钥匙串数据，这些iphone在打开后还没有解锁。

Elcomsoft iOS取证工具包的更新使该软件的版本上升到5.21，主要允许从iOS钥匙链中部分提取数据，用于存储应用程序和在线服务的凭据。根据更新，安全公司声称从iOS 12到iOS 13.3都可以在iOS设备上完成。

受影响的设备列表包括从iPhone 5s到iPhone X的iPhone，以及从iPad mini 2到2018年iPad的所有iPad型号，包括iPad 10.2、第一代iPad Pro 12.9和iPad Pro 10.5。具体来说，适用于使用苹果设计的SoC的车型，从A7到A11。

更新的重点是从在所谓的“第一次解锁前”(BFU)状态下开机后未成功解锁的设备获取数据。开机后，iPhone将保持完全加密，直到输入屏幕锁定密码，这是Secure Enclave解密文件系统所必需的。

根据Elcomsoft的说法，“几乎所有东西”都将保持加密状态，直到用户在启动后用密码解锁iPhone，这是该公司为该工具包设定的目标。它发现，一些钥匙扣项目包含电子邮件帐户的身份验证凭据，一些身份验证令牌在BFU状态下可以访问，允许iPhone在输入代码之前正确启动。

因此，工具箱需要安装一个名为“checkra1n”的越狱软件，该软件利用了Apple bootrom中的漏洞。越狱本身是通过设备固件升级(DFU)模式安装的，无论设备的BFU状态及其锁定状态如何，都可以使用。

Elcomsoft的iOS取证工具包是为执法人员设计的，其方式类似于Cellebrite和其他公司提供的服务，尽管企业甚至个人都可以使用。该公司在Windows和macOS版本中的销售价格都是1495美元起。

以某种方式访问数据的工具的存在可能与某些人有关，但同时在如何影响正常用户方面相对有限。例如，工具箱需要物理访问目标设备，因此不能远程使用，也不能作为恶意行为者广泛攻击的一部分。但是，软件成本不利于想恶意使用的个人。

Elcomsoft的工具过去曾被用于非法活动，包括最著名的“Celebgate”黑客攻击，该攻击用于获取iCloud帐户，然后在这些帐户中搜索照片。

除了从锁定状态访问数据，该工具包还提供其他服务，包括访问所有受保护的信息，包括短信和电子邮件、通话记录、联系人、网页浏览记录、语音邮件、帐户凭据、地理位置记录、即时消息对话、特定于应用程序的数据以及原始纯文本Apple ID密码。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：