據(jù)外媒報道，取證軟件開發(fā)商Elcomsoft剛剛更新了自家的工具包，允許對運行iOS 12到iOS 13.3的未解鎖iPhone設備進行部分數(shù)據(jù)提取。最新的5.21版本主要升級了對iOS鑰匙串的提取，而后者則用于存儲應用程序和在線服務的憑據(jù)。

　　換句話說就是Elcomsoft 5.21適用于采用蘋果 A7到A11芯片的所有設備，即覆蓋iPhone 5s和iPhone X、iPad mini 2到2018款全系平板、iPad 10.2、初代iPad Pro 12.9、以及iPad Pro 10.5。

　　此次更新的重點在于“首次解鎖前”（BFU）狀態(tài)。開機后，iPhone會保持完全加密狀態(tài)，直到輸入屏幕鎖定密碼為止，這是Secure Enclave在解密文件系統(tǒng)之前所必需的。

　　Elcomsoft發(fā)現(xiàn)某些Keychain項目中包含了電子郵件賬戶的身份驗證憑據(jù)，且有些身份驗證令牌可在處于BFU狀態(tài)時被訪問，從而允許iPhone在輸入鎖屏密碼前正確啟動。所以Elcomsoft工具包需要安裝一款名叫“checkra1n”的越獄軟件，其利用了蘋果bootrom中的漏洞。

　　越獄本身通過設備固件升級（DFU）模式安裝，無論設備BFU狀態(tài)、以及是否處于鎖定狀態(tài)，均可拿來使用。

　　雖然Elcomsoft表示自己主要是為執(zhí)法人員提供iOS取證工具，但實際上企業(yè)與個人也可使用Elcomsoft公司的工具，目前 Windows 和macOS版本的售價均為1495美元起。高昂的售價以及必須接觸實機的方式也讓這種獲取iPhone數(shù)據(jù)的方式不被廣泛利用，不過還是有特例的，就比如“Celebgate”黑客事件（攻破iCloud賬戶并檢索照片）。

　　除了從未解鎖的iOS設備上獲取數(shù)據(jù)以外，Elcomsoft取證工具包還可以訪問所有受保護的信息（包括短信和電子郵件）、呼叫歷史記錄、聯(lián)系人、網(wǎng)頁瀏覽歷史記錄、語音郵件、帳戶憑據(jù)、地理位置歷史記錄、即時消息會話、應用程序的具體數(shù)據(jù)、以及原始的純文本Apple ID密碼等。