據(jù)外媒報(bào)道，取證軟件開(kāi)發(fā)商Elcomsoft剛剛更新了自家的工具包，允許對(duì)運(yùn)行iOS 12到iOS 13.3的未解鎖iPhone設(shè)備進(jìn)行部分?jǐn)?shù)據(jù)提取。最新的5.21版本主要升級(jí)了對(duì)iOS鑰匙串的提取，而后者則用于存儲(chǔ)應(yīng)用程序和在線服務(wù)的憑據(jù)。

　　換句話說(shuō)就是Elcomsoft 5.21適用于采用蘋(píng)果 A7到A11芯片的所有設(shè)備，即覆蓋iPhone 5s和iPhone X、iPad mini 2到2018款全系平板、iPad 10.2、初代iPad Pro 12.9、以及iPad Pro 10.5。

　　此次更新的重點(diǎn)在于“首次解鎖前”（BFU）狀態(tài)。開(kāi)機(jī)后，iPhone會(huì)保持完全加密狀態(tài)，直到輸入屏幕鎖定密碼為止，這是Secure Enclave在解密文件系統(tǒng)之前所必需的。

　　Elcomsoft發(fā)現(xiàn)某些Keychain項(xiàng)目中包含了電子郵件賬戶(hù)的身份驗(yàn)證憑據(jù)，且有些身份驗(yàn)證令牌可在處于BFU狀態(tài)時(shí)被訪問(wèn)，從而允許iPhone在輸入鎖屏密碼前正確啟動(dòng)。所以Elcomsoft工具包需要安裝一款名叫“checkra1n”的越獄軟件，其利用了蘋(píng)果bootrom中的漏洞。

　　越獄本身通過(guò)設(shè)備固件升級(jí)（DFU）模式安裝，無(wú)論設(shè)備BFU狀態(tài)、以及是否處于鎖定狀態(tài)，均可拿來(lái)使用。

　　雖然Elcomsoft表示自己主要是為執(zhí)法人員提供iOS取證工具，但實(shí)際上企業(yè)與個(gè)人也可使用Elcomsoft公司的工具，目前 Windows 和macOS版本的售價(jià)均為1495美元起。高昂的售價(jià)以及必須接觸實(shí)機(jī)的方式也讓這種獲取iPhone數(shù)據(jù)的方式不被廣泛利用，不過(guò)還是有特例的，就比如“Celebgate”黑客事件（攻破iCloud賬戶(hù)并檢索照片）。

　　除了從未解鎖的iOS設(shè)備上獲取數(shù)據(jù)以外，Elcomsoft取證工具包還可以訪問(wèn)所有受保護(hù)的信息（包括短信和電子郵件）、呼叫歷史記錄、聯(lián)系人、網(wǎng)頁(yè)瀏覽歷史記錄、語(yǔ)音郵件、帳戶(hù)憑據(jù)、地理位置歷史記錄、即時(shí)消息會(huì)話、應(yīng)用程序的具體數(shù)據(jù)、以及原始的純文本Apple ID密碼等。