Obsah
Apple vydal iOS 15.7. co je nového a jak aktualizovat
Byly vydány iOS 12.5.7 a iOS 15.7.3. Co se změnilo v nízkoúrovňové extrakci?
Apple svá zařízení podporuje dlouhodobě, někdy nečekaně uvolňuje bezpečnostní záplaty pro dlouho existující a beznadějně zastaralá zařízení. Společnost 23. ledna spolu s vydáním iOS 16.3 vydala aktualizace pro starší zařízení, která nedostala podporu pro iOS 16. Co se změnilo z pohledu soudního znalce vydáním iOS 12.5.7, iOS 15.7.3 a iPadOS 15.7.3?
Dvě nízkoúrovňové extrakční metody
V posledních letech Apple vydal velké množství modelů zařízení, z nichž mnohé stále jejich majitelé i přes svůj věk aktivně používají. Mnoho starších zařízení může být možné extrahovat pomocí bootloaderu checkm8. Tato metoda je jediná schopná zajistit forenzní čistotu analýzy, ale je dostupná pouze pro zařízení iPhone 8, 8 Plus a iPhone X generace a starší. Pro novější platformy je k dispozici další nízkoúrovňová extrakční metoda, která využívá náš extraktor. Všimněte si, že pro zařízení, pro která byla vydána aktualizace systému na iOS 12.5.7, jsou k dispozici obě metody a pro zařízení s aktualizací na iOS 15.7.3 pouze checkm8.
iOS 12.5.7: Nízkoúrovňová extrakce stále funguje
Bezpečnostní záplata v podobě iOS 12.5.7 je určena pro zařízení, pro která je nejnovější dvanáctá verze systému. To zahrnuje zařízení poháněná čipy Apple A7, A8 a A8X, včetně iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 a iPod touch (6. generace). Oficiální informace hovoří o opravě jediné zranitelnosti ve WebKitu CVE-2022-42856.
Extraktor: podporován. Na této verzi systému jsme testovali fungování extrakčního agenta iOS Forensic Toolkit; Nebyly nalezeny žádné problémy s kompatibilitou. K dispozici je jak extrahování úplného obrazu systému souborů, tak dešifrování klíčového řetězce. Vývojáři Applu zřejmě neopravili zranitelnost, díky které se agentovi extraktoru daří získat zvýšená oprávnění a uniknout ze sandboxu.
checkm8: podporováno. Kromě toho jsme testovali checkm8 na zařízení aktualizovaném na iOS 12.5.7; Nebyly nalezeny žádné problémy s kompatibilitou. Extrahuje se obraz systému souborů i klíčenka.
iOS 15.7.3: podpora checkm8
Verze iOS 15.7.3 a iPadOS 15.7.3 jsou určeny pro zařízení na čipech A9/A9X a A10/A10X, pro které byla poslední patnáctá verze systému. To zahrnovalo modely jako iPhone 6s a iPhone 6s Plus, iPhone 7 a iPhone 7 Plus, iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace) a iPod touch (7. generace). Seznam oprav v této verzi systému iOS je delší než v předchozí verzi, ale neovlivňuje činnost extrakčního agenta: extrakce touto metodou nebyla pro předchozí verzi systému podporována a není podporována v aktualizaci .
To však není kritické: pro zařízení na čipech A9/A9X a A10/A10X je k dispozici pokročilejší způsob přístupu k datům prostřednictvím exploitu bootloaderu. checkm8.
checkm8: podporováno. Testovali jsme checkm8 na zařízeních aktualizovaných na iOS 15.7.3. Algoritmus správně podporuje extrakci obrazu systému souborů i dešifrování klíčového řetězce.
Poznámka: Vzhledem k tomu, že aktuální sestavení iOS Forensic Toolkit bylo vydáno před vydáním iOS 15.7.3 a iPadOS 15.7.3, během provozu nebude algoritmus schopen určit verzi systému nainstalovaného v zařízení a nebude schopen zobrazit správný odkaz pro stažení obrazu firmwaru. Připomeňme, že pro fungování exploitu je nutný odkaz na stažení obrazu firmwaru; bude během provozu vyžádán programem. Dokud nevydáme aktualizaci iOS Forensic Toolkit, budete muset nezávisle najít požadovaný obrázek na webu Apple, zkopírovat a vložit odkaz na stažení firmwaru do programu. Alternativním způsobem je stažení souboru firmwaru a předání cesty ke staženému souboru programu.
Metoda extrakce checkm8, kterou jsme vyvinuli, se ukázala jako extrémně spolehlivá a odolná vůči aktualizacím verzí iOS, včetně předběžných sestavení iOS/iPadOS. Náš přístup je univerzální a v mnoha ohledech jedinečný, což nám umožňuje počítat s podporou budoucích verzí iOS/iPadOS.
Tabulka kompatibility
Aktualizovali jsme tabulku kompatibility metod extrakce s novými verzemi iOS, přidali jsme iOS 12.5.7 (extrakční agent a checkm8). U systémů s iOS/iPadOS 15.7.3 je extrakce podporována checkm8, ale ne extrakčním agentem.