フォレンジックソフトウェア開発会社 Elcomsoft は、iOS 用ツールセットを更新し、iOS 12 から iOS 13.3 を実行している iPhone からキーチェーンの要素を抽出できるようにしました。これにより、電源を入れた後まだロック解除されていない、無効化されロックされた iPhone から部分的なキーチェーン データを取得できるようになりました。
ElcomsoftのiOSフォレンジックキットのアップデートにより、ソフトウェアはバージョン5.21となり、主にiOSキーチェーン(アプリやオンラインサービスの認証情報を保存するために使用される)からデータの部分的な抽出が可能になりました。同社は、今回のアップデートにより、iOS 12からiOS 13.3までのiOSデバイスでこの操作が可能になったと主張しています。
影響を受けるデバイスのリストには、iPhone 5sからiPhone XまでのiPhone、iPad mini 2から2018年モデルのiPadまでの全iPadモデル、iPad 10.2、第1世代iPad Pro 12.9、iPad Pro 10.5が含まれます。具体的には、Appleが独自に設計したA7からA11までのSoCを搭載したモデルで動作します。
このアップデートの主眼は、電源投入後、一度もロック解除されていないデバイス、いわゆる「Before First Unlock(BFU)」状態からデータを取得することです。iPhoneは電源投入後、画面ロックのパスコードが入力されるまで完全に暗号化された状態を維持します。このパスコードは、ファイルシステムの復号化前にSecure Enclaveによって要求されます。
エルコムソフト社によると、ユーザーが起動後にパスコードでiPhoneのロックを解除するまで、「ほぼすべて」が暗号化されたままであり、同社がツールキットで狙っているのは残りの部分だ。メールアカウントの認証情報や認証トークンを含むキーチェーン項目の一部は、BFU状態の間もアクセス可能であり、コード入力前にiPhoneを正常に起動できることがわかった。
これを実現するには、ツールキットは「checkra1n」と呼ばれる脱獄ツールのインストールを必要とします。これはAppleのブートROMの脆弱性を利用するものです。脱獄ツール自体はデバイスファームウェアアップグレード(DFU)モードでインストールされ、デバイスのBFUステータスやロック状態に関係なく使用できます。
ElcomsoftのiOSフォレンジックツールキットインターフェース
ElcomsoftのiOS Forensic Toolkitは、Cellebriteなどのサービスと同様に法執行機関による利用を想定していますが、企業や個人でも利用可能です。同社はWindows版とmacOS版の両方で、1,495ドルから販売しています。
このような方法でデータにアクセスするツールの存在は、一部の人にとっては懸念材料となるかもしれませんが、同時に、一般ユーザーへの影響は比較的限定的です。例えば、このツールキットは対象デバイスへの物理的なアクセスを必要とするため、リモートから使用したり、悪意のある人物による広範囲な攻撃に利用したりすることはできません。また、ソフトウェアのコストが高いため、悪意のある目的で使用しようとする個人にとっては、購入をためらう要因となります。
エルコムソフトのツールは過去にも違法行為に使用されており、最も有名なのは「セレブゲート」ハッキングで、このハッキングによってiCloudアカウントが取得され、危険な写真がないか検索された。
ロックされた状態からデータにアクセスする以外にも、このツールキットは、SMS や電子メール、通話履歴、連絡先、Web 閲覧履歴、ボイスメール、アカウント資格情報、位置情報履歴、インスタント メッセージの会話、アプリケーション固有のデータ、元のプレーンテキストの Apple ID パスワードなど、すべての保護された情報へのアクセスを含む他のサービスも提供します。
