ElcomSoft Co. Ltd. ha anunciado la primera actualización importante de iOS Forensic Toolkit 8. La nueva versión 8.10 agrega soporte de extracción checkm8 con solidez forense para iOS, iPadOS y tvOS 16.2, mientras que el agente de extracción obtiene soporte experimental para iOS 15.5. Finalmente, Elcomsoft iOS Forensic Toolkit 7.70 volvió a habilitar el uso del agente de extracción en la edición de Windows.
Elcomsoft iOS Forensic Toolkit 8.10 facilita la extracción de sistemas de archivos de bajo nivel y compatibilidad con el descifrado de llaveros para dispositivos Apple con iOS, iPadOS y tvOS 16.2, lo que permite la extracción checkm8 con solidez forense de dispositivos iPhone, iPad y Apple TV compatibles.
La capacidad de usar la extracción checkm8 está limitada en el iPhone 8, 8 Plus, y dispositivos iPhone X. En estos dispositivos, la extracción sólo funciona si nunca se usó una contraseña de bloqueo de pantalla en el dispositivo desde la configuración inicial. Esta limitación no se aplica a ningún modelo de iPad o Apple TV, pero es posible que deba eliminar el código de acceso de bloqueo de pantalla al adquirir un dispositivo iPadOS 16.
La nueva compilación también brinda soporte de extracción de bajo nivel basado en agentes experimentales para iOS/iPadOS 15.5, aunque solo para A12 y dispositivos más nuevos. El exploit utilizado para iOS/iPadOS 15.5 es complejo, por lo que la estabilidad de la extracción no está garantizada aunque se prevé que sea solucionada en versiones posteriores.
Por el momento, Elcomsoft iOS Forensic Toolkit 8.10 sólo está disponible para computadoras Mac. Por esta razón, Elcomsoft mantiene una rama más antigua del producto, que también está disponible como edición de Windows. En esta versión, se ha revisado el mecanismo de firma del agente de extracción, que habilita la capacidad de descargar el agente desde una PC con Windows. El nuevo mecanismo de firma ahora emplea contraseñas de ID de Apple regulares en lugar de las contraseñas de un solo uso utilizadas anteriormente, pero aún necesita una ID de Apple inscrita en el Programa de Desarrolladores de Apple para descargar y firmar el agente de extracción.
iOS Forensic Toolkit es la única solución en el mercado que admite la extracción checkm8 de los modelos de Apple TV, incluido el llavero. El Apple TV es el único modelo que no se puede proteger con un código de acceso, lo que lo convierte en una valiosa fuente de evidencia accesible.
La extracción basada en checkm8 es la más limpia, segura y el método de extracción tecnológicamente más avanzado disponible para una variedad de dispositivos Apple con un gestor de arranque vulnerable. En comparación con otros métodos de adquisición, la implementación de checkm8 de Elcomsoft es la única solución verdaderamente sólida desde el punto de vista forense que ofrece extracciones repetibles y verificables. En comparación con la adquisición lógica, la extracción de bajo nivel brinda mucha más información y descifra todo el contenido del llavero, incluidas las claves de cifrado y los tokens de autenticación.