外媒報(bào)道稱，取證軟件開發(fā)商Elcomsoft剛剛更新了自家的iOS工具包，能夠從運(yùn)行iOS12到iOS13.3的iPhone設(shè)備上、在未解鎖的情況下提取部分?jǐn)?shù)據(jù)。

最新的5.21版本，主要升級了對iOSKeychain元素的提取，用于存儲(chǔ)應(yīng)用程序和在線服務(wù)的憑據(jù)。

受影響機(jī)型從iPhone5s和iPhoneX、iPadmini2到2018款全系平板、iPad10.2、初代iPadPro12.9、以及iPadPro10.5。

（圖自：Apple，viaAppleInsider）

具體來說，Elcomsoft5.21適用于采用蘋果A7到A11SoC的設(shè)備。更新重點(diǎn)在于所謂的“首次解鎖前”（BFU）狀態(tài)——此事設(shè)備自開機(jī)后，尚未進(jìn)行過一次成功的解鎖。

開機(jī)后，iPhone會(huì)保持完全加密狀態(tài)，直到輸入鎖屏密碼，這是SecureEnclave在解密文件系統(tǒng)之前所必需的，然而Elcomsoft工具包瞄準(zhǔn)的就是這種狀況。

其發(fā)現(xiàn)某些Keychain項(xiàng)目中包含了電子郵件賬戶的身份驗(yàn)證憑據(jù)，且有些身份驗(yàn)證令牌竟可在處于BFU狀態(tài)時(shí)被訪問，從而允許iPhone在輸入鎖屏密碼前正確啟動(dòng)。

為此，Elcomsoft工具箱需要安裝一款名叫“checkra1n”的越獄軟件，其利用了蘋果bootrom中的漏洞。

越獄本身通過設(shè)備固件升級（DFU）模式安裝，無論設(shè)備BFU狀態(tài)、以及是否處于鎖定狀態(tài)，均可拿來使用。

Elcomsoft聲稱，其旨在向執(zhí)法人員提供iOS取證工具，使用方式上與Cellebrite等公司提供的服務(wù)類似。

但是顯然，企業(yè)與個(gè)人也可輕易利用Elcomsoft公司的工具，目前Windows和macOS版本的售價(jià)均為1495美元起。

受限于越獄方式，這款工具只能在物理接觸到目標(biāo)設(shè)備時(shí)使用，因而無法用于廣泛的攻擊。此外軟件的高昂成本，也能夠?qū)⒉糠謵阂馊耸孔钃踉陂T外。

當(dāng)然，這只是一個(gè)理想的狀況。此前Elcomsoft工具曾被用于非法行為，包括臭名昭著的“Celebgate”黑客事件（攻破iCloud賬戶并檢索照片）。

除了從未解鎖的iOS設(shè)備上訪問數(shù)據(jù)，Elcomsoft取證工具還提供了其它服務(wù)，比如訪問所有受保護(hù)的信息（包括短信和電子郵件）、呼叫歷史記錄、聯(lián)系人、網(wǎng)頁瀏覽歷史記錄、語音郵件、帳戶憑據(jù)、地理位置歷史記錄、即時(shí)消息會(huì)話、應(yīng)用程序的具體數(shù)據(jù)、以及原始的純文本AppleID密碼等。