Elcomsoft工具包更新，無需解鎖iPhone即可提取部分信息

fireeye

外媒報道稱，軟件開發商 Elcomsoft 剛剛更新了自家的 iOS 工具包，能夠從運行 iOS 12 到 iOS 13.3 的 iPhone 設備上、在未解鎖的情況下提取部分數據。最新的 5.21 版本，主要升級了對 iOS Keychain 元素的提取，用於存儲應用程序和在線服務的憑據，受影響機型從 iPhone 5s 和 iPhone X、iPad mini 2 到 2018 款全系平板、iPad 10.2、初代 iPad Pro 12.9、以及 iPad Pro 10.5 。



具體來說，Elcomsoft 5.21 適用於采用蘋果 A7 到 A11 SoC 的設備。更新重點在於所謂的“首次解鎖前”（BFU）狀態 —— 此事設備自開機後，尚未進行過一次成功的解鎖。

開機後，iPhone 會保持完全加密狀態，直到輸入鎖屏密碼，這是 Secure Enclave 在解密文件系統之前所必需的，然而 Elcomsoft 工具包瞄準的就是這種狀況。

其發現某些 Keychain 項目中包含了電子郵件賬戶的身份驗證憑據，且有些身份驗證令牌竟可在處於 BFU 狀態時被訪問，從而允許 iPhone 在輸入鎖屏密碼前正確啟動。為此，Elcomsoft 工具箱需要安裝一款名叫“checkra1n”的越獄軟件，其利用了蘋果 bootrom 中的漏洞。越獄本身通過設備固件升級（DFU）模式安裝，無論設備 BFU 狀態、以及是否處於鎖定狀態，均可拿來使用。



Elcomsoft 聲稱，其旨在向執法人員提供 iOS 取證工具，使用方式上與 Cellebrite 等公司提供的服務類似。

但是顯然，企業與個人也可輕易利用 Elcomsoft 公司的工具，目前 Windows 和 macOS 版本的售價均為 1495 美元起。

受限於越獄方式，這款工具只能在物理接觸到目標設備時使用，因而無法用於廣泛的攻擊。此外軟件的高昂成本，也能夠將部分惡意人士阻擋在門外。

當然，這只是一個理想的狀況。此前 Elcomsoft 工具曾被用於非法行為，包括臭名昭著的“Celebgate”黑客事件（攻破 iCloud 賬戶並檢索照片）。

除了從未解鎖的 iOS 設備上訪問數據，Elcomsoft 取證工具還提供了其它服務，比如訪問所有受保護的信息（包括短信和電子郵件）、呼叫歷史記錄、聯系人、網頁瀏覽歷史記錄、語音郵件、帳戶憑據、地理位置歷史記錄、即時消息會話、應用程序的具體數據、以及原始的純文本 Apple ID 密碼等。


http://yueyu.tongbu.com/98152.html