Das iOS Forensic Toolkit 10.0 bietet Aktualisierungen für verschiedene Methoden der Datenextraktion. Sowohl die Extraktions-Agenten als auch die Low-Level-Methoden mit checkm8 wurden verbessert. Erweitert wird auch die Liste unterstützter Geräte auf iOS 18 und iOS 17 zusammen mit umfassenden Aktualisierungen für iOS 16. Außerdem wurde die Passcode-Verwaltung auf älteren Geräten verbessert sowie Probleme bei der Installation des Agenten und beim Einbinden von Images behoben.

Der Schwerpunkt dieser Version liegt auf der Erweiterung der Funktionen des Extraktions-Agenten. Das Toolkit unterstützt nun die Extraktion für den gesamten iOS-17-Branch und unterstützt erstmals auch die iOS-Versionen 18.0 bis einschließlich 18.7.1. Nachgezogen wurde auch der Support für die aktuellsten iOS 16-Versionen, namentlich 16.7 bis 16.7.15. Diese Versionen sind aktuell die neuesten Updates für das iPhone 8, 8 Plus, iPhone X und einige iPad-Modelle.

Im Ergebnis können agentenbasiert nun alle Versionen von iOS 16 und iOS 17 extrahiert werden, während iOS 18 in den Versionen 18.0 bis 18.7.1 unterstützt wird. Beachten Sie, dass alle kompatiblen iPhone- und iPad-Modelle mit SoCs der A-Serie zwar unterstützt werden, iPads mit Prozessoren der M-Serie jedoch derzeit nur bis Version 16.6.1 abgedeckt werden.

Die Low-Level-Extraktionsmethode über den checkm8-Bootloader-Exploit wurde ebenfalls aktualisiert, um neue Software-Updates auf zusätzlichen Geräten zu nutzen. Dies umfasst die Unterstützung für iOS und iPadOS 15.8.7, 16.8.8 (Einschränkungen gelten für A11-Geräte), 16.7.15 und 18.7.5 auf kompatiblen iPhones, iPads und iPod Touch Modellen. Darüber hinaus ist checkm8 nun auch auf Apple TV (tvOS 26.3 und 26.4) und Apple HomePod (audioOS 26.3 und 26.4) verfügbar.

Schließlich haben wir die Unterstützung für die erweiterte Datenerfassung auf Dateiebene für die iOS-26-Familie, einschließlich iOS/iPadOS 26.4, verbessert. Es ist nun möglich, zusätzliche „Shared Files“ zu extrahieren, die über reguläre lokale Backups nicht verfügbar sind.
iOS Forensic Toolkit 10.0 Versionshinweise

Agentenbasierte Extraktion

• Zusätzliche Unterstützung für iOS 16.7 bis 16.7.15 (iPhone 8, 8 Plus, X und die meisten kompatiblen iPads)
• Zusätzliche Unterstützung für iOS 17.0 bis 17.7.8 (iPhones und die meisten kompatiblen iPads)
• Zusätzliche Unterstützung für iOS 18.0 bis 18.7.1

checkm8-Extraktion

• Zusätzliche Unterstützung für iOS 15.8.7 (iPhone 6s/6s Plus/7/7 Plus/SE, iPod touch 7. Generation)
• Zusätzliche Unterstützung für iOS 16.8.8 (iPhone 8/8 Plus und iPhone X mit Einschränkungen)
• Zusätzliche Unterstützung für iPadOS 15.8.7 (iPad mini 4, iPad Air 2)
• Zusätzliche Unterstützung für iPadOS 16.7.15 (iPad 5. Generation, iPad Pro 1. Generation)
• Zusätzliche Unterstützung für iPadOS 18.7.5 (iPad 7. Generation)
• Zusätzliche Unterstützung für tvOS 26.3 und 26.4 (Apple TV HD und Apple TV 4K 1. Generation)
• Zusätzliche Unterstützung für audioOS 26.3 und 26.4 (Apple HomePod 1. Generation)

Erweiterte Datenerfassung auf Dateiebene

• Die erweiterte Datenerfassung auf Dateiebene für iOS/iPadOS 26 wurde verbessert, gleichzeitig wurde die Menge der extrahierbaren „Shared Files“ erhöht.

Fehlerbehebungen und Verbesserungen

• Verbesserte Handhabung der Passcodelänge auf älteren Geräten
• Probleme bei der Agenteninstallation wurden behoben
• Verbesserte Fehlerbehandlung und Diagnose
• Ein Problem mit dem lokalen Firmware-Pfad wurde behoben
• Ein Problem beim Kopieren von Dateien aus eingebundenen Images wurde behoben

Bekannte Probleme und Einschränkungen

• Einige APFS-Images, die durch „Perfect Acquisition“ (unter Ausnutzung des Bootloader-basierten Exploits) gewonnen wurden, können unter Windows nicht gemountet werden.
• Die agentenbasierte Extraktion für iOS 16.7, iOS 17 und iOS 18 funktioniert mit allen Geräten, die den A11 SoC verwenden (iPhone 8, 8 Plus und X) bis hin zum A18 und A18 Pro (iPhone 16-Serie). Dies umfasst iPads mit SoCs der A-Serie, jedoch nicht solche mit SoCs der M-Serie.
• Der Extraktions-Agent ist derzeit auf A18-Geräten (iPhone 16-Serie) weniger stabil und kann zu einem Neustart des Geräts führen; für eine erfolgreiche Extraktion können mehrere Versuche erforderlich sein.