Elcomsoft, società specializzata in software forense, ha dichiarato che ora è in grado di estrarre molti più dati da diversi iPhone con versioni del sistema operativo che vanno da iOS 12 a iOS 13.3.
Elcomsoft fa sapere che il nuovo tool di strumenti per iOS permette di prelevare dati dagli elementi Keychan degli iPhone, compresi i dati parziali del Portachiavi, anche su dispositivi disabilitati o bloccati. La versione 5.21 dell’iOS Forensics Kit funziona su alcuni dispositivi che montano iOS dalla versione 12 alla versione 13.3: gli iPhone dal modello 5s all’iPhone X, oltre a tutti i modelli di iPad da iPad mini 2 a iPad 2018, compresi iPad 10.2, iPad Pro 12.9 di prima generazione e iPad Pro 10.5. In particolare, il tool funziona su tutti i modelli che utilizzano chip Apple dal modello A7 al modello A11.
Di norma, dopo essere stato acceso, un iPhone rimane completamente crittografato fino a quando non viene inserito un passcode di sblocco dello schermo, cosa richiesta dal Secure Enclave prima che il file system venga decrittografato.
Secondo Elcomsoft, “quasi tutto” rimane crittografato fino a quando l’utente non sblocca l’iPhone con il passcode dopo l’avvio, ma alcuni dati rimangono accessibili. Il tool permette infatti di acquisire dati da un dispositivo bloccato, anche in modalità BFU (Before First Unlock). Elcomosoft ha trovato alcuni elementi Keychan contenenti credenziali di autenticazione per gli account e-mail e alcuni token che permettono l’accesso a questi dati, password compresa.
Per fare ciò, il toolkit effettua l’installazione di un tool di jailbreak noto come “checkra1n”, che utilizza vulnerabilità nella bootrom di Apple. Il jailbreak stesso viene installato tramite una modalità di aggiornamento del firmware del dispositivo (DFU) e può essere utilizzato indipendentemente dallo stato BFU del dispositivo e dal suo stato di blocco.
iOS Forensic Toolkit di Elcomsoft è destinato all’uso da parte delle forze dell’ordine, in modo simile ai servizi forniti da Cellebrite e altre aziende, sebbene tali strumenti siano disponibili anche per le aziende private e singoli utenti. La società vende il pacchetto a partire da 1,495$ in entrambe le varianti Windows e macOS.
Va ricordato che il toolkit richiede l’accesso fisico al dispositivo di destinazione, quindi non può essere utilizzato in remoto o come parte di un attacco su larga scala. Inoltre, il suo costo elevato farà desistere molti malintenzionati che lavorano singolarmente.
Gli strumenti di Elcomsoft sono comunque stati utilizzati in passato per atti illeciti, tra cui il famoso “Celebgate” che permise di acquisire account iCloud che sono stati poi utilizzati per distribuire foto private di molti attori e attrici.
Oltre ad accedere ai dati da uno stato di blocco, il toolkit fornisce anche altri servizi, incluso l’accesso a tutte le informazioni protette tra cui SMS ed e-mail, cronologia delle chiamate, contatti, cronologia di navigazione Web, posta vocale, credenziali dell’account, cronologia di geolocalizzazione, conversazioni di messaggi istantanei, oltre a dati e password dell’ID Apple.