外媒報導稱，取證軟件開發商Elcomsoft剛剛更新了自家的iOS工具包，能夠從運行iOS 12到iOS 13.3的iPhone設備上、在未解鎖的情況下提取部分數據。最新的5.21版本，主要升級了對iOS Keychain元素的提取，用於存儲應用程序和在線服務的憑據，受影響機型從iPhone 5s和iPhone X、iPad mini 2到2018款全系平板、iPad 10.2、初代iPad Pro 12.9、以及iPad Pro 10.5 。

（圖自：Apple，via Apple Insider）

具體來說，Elcomsoft 5.21適用於採用蘋果 A7到A11 SoC的設備。更新重點在於所謂的“首次解鎖前”（BFU）狀態——此事設備自開機後，尚未進行過一次成功的解鎖。

開機後，iPhone會保持完全加密狀態，直到輸入鎖屏密碼，這是Secure Enclave在解密文件系統之前所必需的，然而Elcomsoft工具包瞄準的就是這種狀況。

其發現某些Keychain 項目中包含了電子郵件賬戶的身份驗證憑據，且有些身份驗證令牌竟可在處於BFU 狀態時被訪問，從而允許iPhone 在輸入鎖屏密碼前正確啟動。

為此，Elcomsoft 工具箱需要安裝一款名叫“checkra1n”的越獄軟件，其利用了蘋果bootrom 中的漏洞。

越獄本身通過設備固件升級（DFU）模式安裝，無論設備BFU 狀態、以及是否處於鎖定狀態，均可拿來使用。

Elcomsoft 聲稱，其旨在向執法人員提供iOS 取證工具，使用方式上與Cellebrite 等公司提供的服務類似。

但是顯然，企業與個人也可輕易利用Elcomsoft公司的工具，目前Windows和macOS版本的售價均為1495美元起。

受限於越獄方式，這款工具只能在物理接觸到目標設備時使用，因而無法用於廣泛的攻擊。此外軟件的高昂成本，也能夠將部分惡意人士阻擋在門外。

當然，這只是一個理想的狀況。此前Elcomsoft 工具曾被用於非法行為，包括臭名昭著的“Celebgate”黑客事件（攻破iCloud 賬戶並檢索照片）。

除了從未解鎖的iOS 設備上訪問數據，Elcomsoft 取證工具還提供了其它服務，比如訪問所有受保護的信息（包括短信和電子郵件）、呼叫歷史記錄、聯繫人、網頁瀏覽歷史記錄、語音郵件、帳戶憑據、地理位置歷史記錄、即時消息會話、應用程序的具體數據、以及原始的純文本Apple ID 密碼等。