Das Elcomsoft iOS Forensic Toolkit 8.81 weitet die Unterstützung für checkm8 aus. Es ist nun kompatibel mit allen Geräten, auf denen iOS 17 oder 18 läuft. Dazu zählen das iPad 6 und 7, iPad Pro 2, AppleTV HD und AppleTV 4K (1. Generation) sowie der ursprüngliche HomePod.

Die Version 8.81 erweitert die Kompatibilität von checkm8-Extraktionen auf Bootloader-Ebene und bietet Unterstützung für alle Versionen von iPadOS, tvOS und audioOS 17 und 18, sowohl in der macOS- als auch in der Linux-Variante.

Alle Geräte, die iOS 17 und 18 unterstützen, können mittels des checkm8-Exploits ausgelesen werden. Möglich ist die vollständige Extraktion des kompletten Dateisystems sowie die Entschlüsselung von Apples Schlüsselbund.

Die Challenge

Mit iOS 17 wurden grundlegende Änderungen bei der Generierung und Verwaltung von Encryption-Keys eingeführt, die sich aus technischer Sicht als sehr herausfordernd darstellen. Der ursprüngliche checkm8-Exploit funktioniert weiterhin einwandfrei, allerdings musste der Prozess zum Entsperren der Festplatte grundlegend überarbeitet werden. Hintergrund waren geänderte Abläufe und Methoden, wie die Schlüssel genutzt und gespeichert wurden. Um das Forensic Toolkit an Apples neues Schutzmodell anzupassen, waren im Ergebnis zahlreiche Änderungen in der Software nötig. Mit der Version 8.81 ist sichergestellt, dass der vollständige Zugriff auf das Dateisystem und Apples Schlüsselbund für alle unterstützten Geräte möglich ist.

Warum ist das wichtig?

Die vollständige Dateisystemextraktion für iOS 18 bietet wertvolle Einblicke in dynamische Datenstrukturen und Speichermechanismen, die von Apple-Hardware verwendet werden. Außerdem können Apple TV- und HomePod-Geräte nicht mit einem Passcode geschützt werden. Daher kann das Auslesen dieser Geräte eine wertvolle alternative Beweisquelle darstellen, wenn das Hauptgerät des Benutzers gesperrt, beschädigt oder nicht verfügbar ist.

Unterstützte Hardware

Folgende Geräte sind mit iOS 17 und/oder 18 kompatibel:

• iPad 6
• iPad 7
• iPad Pro 2
• AppleTV HD
• AppleTV 4K (1. Generation)
• HomePod (1. Generation)

Zu beachten ist, dass die letzte unterstützte Version für iPad 6 und iPad Pro 2 iPadOS 17 ist; die anderen aufgeführten Geräte unterstützen iOS 17 und 18. Sowohl Apple TVs als auch der ursprüngliche HomePod können die neuesten Versionen von iOS 26 ausführen. Die Unterstützung für diese Versionen des Betriebssystems befindet sich derzeit in der Entwicklung.

iOS Forensic Toolkit 8.81 Versionshinweise

• checkm8: die vollständige Extraktion des Dateisystems und des Schlüsselbunds wurde für iPadOS/tvOS/audioOS 17 auf iPad 6 & 7, iPad Pro 2, Apple TV HD und 4K (1. Generation), HomePod (1. Generation) über einen Bootloader-Exploit (macOS- und Linux-Versionen) hinzugefügt
• checkm8: die vollständige Extraktion des Dateisystems und des Schlüsselbunds wurde für iPadOS/tvOS/audioOS 18 auf iPad 7, Apple TV HD und 4K (1. Generation), HomePod (1. Generation) über einen Bootloader-Exploit (macOS- und Linux-Versionen) hinzugefügt.
• Bugfix: kleinere Fehlerbehebungen und Erweiterung der Kompatibilität