本文主要是介绍ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。
在 iOS 设备取证领域,解锁屏幕密码锁是一道初始且重要的环节。使用 checkm8 漏洞进行低级提取已成为一种常见做法。但是,使用此方法时,可能偶尔需要删除设备的屏幕锁定密码,这可能会导致一些不良后果。在本文中,我们将研究这些后果,并了解何时需要重置屏幕锁定,何时可以避免,以及最新的 ElcomSoft iOS Forensic Toolkit 可以为此做些什么。
ElcomSoft iOS Forensic Toolkit Ver. 8.55 设法绕过了以前需要重置绝大多数设备的屏幕锁定密码的要求。但是,对于运行 iOS 14 或 15 的三种型号设备(iPhone 8、8 Plus、iPhone X),在使用 checkm8 提取时,仍然必须删除屏幕锁定密码。但是,我们建议使用一种不关心密码的替代低级提取方法。
为什么可能需要重置密码(以及为什么它甚至可能没有帮助)
在利用 checkm8 漏洞的方法中,使用的漏洞存在于硬编码的引导加载程序中。Apple 无法更改或修补此功能。但是,我们已经看到 Apple 开发人员在数据提取方面在很大程度上减轻了漏洞利用的影响。
随着 iOS 14 的发布,Apple 让移动取证专家的工作变得更加困难。特别是在 A11 iPhone 上,iOS 16 进一步强化了负责系统数据保护的 SEP(安全隔区处理器)。通过 DFU 模式启动设备时,SEP 会禁用解密用户数据所需的加密密钥。在 iOS 15(A10 和 A11 设备)中,在正常模式下启动时删除密码就足够了,在提取过程中不依赖那些硬件禁用的密钥。但是,在 iOS 16 中,如果在干净还原后在设备上设置了密码,则不再可能不依赖 SEP 禁用的密钥,从而大大改善了对用户数据的保护。
在较旧的 A10X 设备(如 iPad Pro 2)上,我们可以利用带有 blackbird 的 SEP 并告诉 SEP 不要禁用这些键,而像 iPad 5 这样的旧设备 (<=A9) 一开始就没有接受这种强化。
因此,如果运行 iOS 16 的 iPhone 8、8 Plus 或 iPhone X 在初始设置后使用了密码,则提取将失败。如果这些型号的 iPhone 运行的是 iOS 14 或 15,你们我们仍然可以访问用户数据;但是,需要删除密码。
什么时候需要重置密码
只有在以下情况下才需要删除屏幕锁定密码(所有条件必须适用):
- 您正在执行 checkm8 提取
- 该设备是 iPhone 8、8 Plus 或 iPhone X
- 设备运行的是 iOS 14 或 15
如果任何一个条件不成立,则无需删除密码。
为什么删除密码可能是有害的
在调查期间删除屏幕锁定密码会产生多种后果:
- 提取过程在取证上不再合理,因为对设备进行了许多更改。
- 删除密码会导致某些数据永久丢失,例如Apple Pay交易,下载的基于Exchange的邮件,某些应用程序令牌等。
- 在某些情况下,在从受影响的设备登录iCloud之前,无法删除密码,这会产生明显的远程擦除/锁定风险,以及不需要的数据同步。
- 重置设备设置会导致设备上发生更多更改
- 从某种意义上说,该设备在访问存储在 iCloud 中的端到端加密数据时不再“受信任”。
由于这些原因,如果可以避免这种做法,我们不鼓励这种做法。考虑删除密码作为最后的手段,只有在仔细考虑所有利弊后才能使用。如果您仍然需要重置屏幕锁定代码,请确保已事先对设备进行备份(即使它受密码保护),已通过 AFC 协议提取媒体文件,并且已保存诊断日志和应用程序文件。
如何删除屏幕锁定密码
虽然删除屏幕锁定密码通常是一个简单明了的过程(设置、面容 ID 和密码,关闭密码;系统会提示您输入原始密码),但即使在这个简单的过程中,您也可能会遇到问题。“屏幕时间”密码、MDM、外部安全策略和某些设备设置可能会阻止您停用密码验证。
何时不需要重置密码
到目前为止,我们已经认为,当您进行 checkm8 提取时,您只需要重置运行 iOS 14 和 15 的 iPhone 8, 8 Plus 和 iPhone X 设备的屏幕锁定密码。但是,存在另一种低级提取方法,使用该方法可以获得相同数量的数据,而无需重置屏幕锁定密码。
如果设备运行的是 iOS 14 或 15(甚至 iOS 16,目前最高可达 iOS 16.5.1),则可以使用 ElcomSoft iOS Forensic Toolkit 工具包中的提取代理。提取代理不需要删除屏幕锁定密码。
重要:以前,对于运行 iOS 16 的以下 iPad 机型,系统会提示您删除屏幕锁定密码:
- iPad Pro // A9X
- iPad Pro 2 // A10X
- iPad 5 // A9
- iPad 6 // A10
- iPad 7 // A10
最新版本的 iOS Forensic Toolkit 8.55 不再如此。如果您安装了旧版本,我们建议您更新到最新版本的 iOS Forensic Toolkit。
结论
在 iOS Forensic Toolkit 中,我们利用所有当前的漏洞,包括 A10 处理器的 SEP 漏洞,尽可能绕过密码。在使用本产品时,只有在理论上无法绕过屏幕锁定密码时才需要重置它。而其他同类软件则会在更多场景中都要求移除屏幕锁定密码。
这篇关于ElcomSoft iOS Forensic Toolkit: 在 iOS 取证中重置屏幕密码锁的含义的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
