[[344512]]

 ElcomSoft的研究人員最近又發(fā)現(xiàn)了一種破解具有未知屏幕鎖定密碼保護(hù)的加密iPhone的方法。此方法支持兩種舊版iPhone機(jī)型iPhone 5和5c，并且需要一臺Mac既可完成破解。此方法絕對是只需要相應(yīng)軟件完成既可以；它不需要焊接、拆卸或購買額外的硬件。你需要的是iOS Forensic Toolkit（新版本https://www.elcomsoft.com/eift.html），一臺Mac計(jì)算機(jī)和USB-A至Lightning數(shù)據(jù)線。在本文中，我們將演示如何在iPhone 5和5c設(shè)備上破解密碼。

密碼破解

Apple實(shí)施了強(qiáng)大的保護(hù)措施，以保護(hù)其設(shè)備免受暴力破解。盡管較新的設(shè)備（iPhone 5s及其以上版本）依靠Secure Enclave將破解概率降至最小，但32位設(shè)備（例如iPhone 5和5c）沒有配備硬件安全協(xié)處理器。因此，無論是在鎖屏輸入無效密碼后不斷升級的時(shí)間延遲，還是在嘗試10次不成功后清除設(shè)備的可選設(shè)置，都在iOS軟件中強(qiáng)制執(zhí)行。禁用這些機(jī)制消除了數(shù)據(jù)丟失的風(fēng)險(xiǎn)，并關(guān)閉了不斷升級的延時(shí)，使破解能夠以每秒剛好13.6個(gè)密碼的速度進(jìn)行，這非常接近Apple兩次密碼嘗試之間80毫秒的目標(biāo)。

破解4位和6位PIN碼

考慮到每秒13.6個(gè)密碼的速度，只需12分鐘即可嘗試所有可能的4位PIN碼組合。但是，所有6位PIN的枚舉最多需要21個(gè)小時(shí)。因此，我們將首先嘗試使用最受歡迎的密碼。共有2910個(gè)常用的6位數(shù)PIN，僅需4分鐘即可對其進(jìn)行測試。此列表后面是基于用戶出生日期的6位PIN碼；大約有74K可能的組合，大約需要1.5個(gè)小時(shí)。只有在這些選擇都用盡之后，才會開始持續(xù)21個(gè)小時(shí)的暴力破解。

字母加數(shù)字密碼

以給定的速度，除非你將用戶的其他密碼作為目標(biāo)字典，否則字母數(shù)字密碼的破解變得非常困難。目前，iOSForensic Toolkit不支持字母數(shù)字密碼。如果檢測到字母數(shù)字密碼，你將看到“不支持”消息，并且破解將停止。

在密碼破解，你將需要以下一些設(shè)備：

1.兼容的iPhone型號，支持的設(shè)備包括iPhone 5（A1428，A1429，A1442）和iPhone 5c（A1456，A1507，A1516，A1526，A1529，A1532）型號；

2.具有macOS 10.12（Sierra）至10.15（Catalina）的臺式或便攜式計(jì)算機(jī)；

3.Lightning數(shù)據(jù)線，由于Apple和大多數(shù)第三方USB-C到Lightning數(shù)據(jù)線之間存在已知的不兼容性，請使用USB-A到Lightning。如果需要，可以使用可選的USB-C到USB-A適配器；

4.iOS Forensic Toolkit 6.40或更高版本；

[[344513]]

解鎖iPhone 5c的步驟

首先，請按照以下預(yù)備步驟安裝iOS Forensic Toolkit，并使自己熟悉checkra1n越獄行為：

1.下載Elcomsoft iOSForensic Toolkit，插入U(xiǎn)SB加密狗。

2.按照如何在Mac上安裝和運(yùn)行iOSForensic Toolkit中的說明安裝工具包，請注意，在macOS Catalina上還有一個(gè)額外的強(qiáng)制性步驟。

3.請查看checkra1n安裝提示和技巧，特別是：

3.1沒有hubs；

3.2僅使用USB-A到Lightning數(shù)據(jù)線（不能使用USB-C到Lightning）；

3.3確保手機(jī)已充電至少20％；

安裝，配置并啟動Elcomsoft iOS Forensic Toolkit后，請?jiān)谥鞔翱谥休斎?ldquo;P”以訪問密碼破解功能。

有下列選項(xiàng)可供選擇：

[1]將設(shè)備置于DFU模式；

[2]漏洞利用設(shè)備；

[3]破解4位數(shù)密碼；

[4]破解6位數(shù)密碼

[5]重新啟動設(shè)備

因?yàn)槊艽a破解功能是基于checkm8漏洞的，因此你需要將設(shè)備切換到DFU模式。這只能在設(shè)備上手動完成，但是，在工具箱中選擇[1]選項(xiàng)將指導(dǎo)你完成該過程。

切換手機(jī)到DFU模式的方法可能不止一種（此處有更多介紹）：

1.確保設(shè)備未連接到計(jì)算機(jī)并且已關(guān)閉；

2.按下Home按鈕，插入Lightning數(shù)據(jù)線，按住Home按鈕，直到設(shè)備在顯示屏上顯示“Connect to iTunes”，然后放開Home按鈕。

3.同時(shí)按住Home和Sleep / Power（頂部）按鈕8秒鐘（Apple徽標(biāo)會出現(xiàn)一段時(shí)間，然后屏幕變黑）。

4.松開“睡眠/電源”按鈕，但再按住Home按鈕8秒鐘。

5.松開“睡眠/電源”按鈕。如果一切正確，屏幕應(yīng)保持空白，手機(jī)應(yīng)該以破解模式出現(xiàn)在iTunes或Finder(取決于macOS版本)中。現(xiàn)在，它準(zhǔn)備采取進(jìn)一步的步驟。

設(shè)備進(jìn)入DFU模式后，選擇第二個(gè)選項(xiàng)，讓它啟動一個(gè)特殊的自定義固件。這個(gè)過程對手機(jī)的數(shù)據(jù)是安全的。它不會改變設(shè)備上的任何東西，因?yàn)楣敉耆谠O(shè)備易失性內(nèi)存中工作，將不會在設(shè)備上留下任何痕跡。

如果漏洞由于某種原因失敗，請從頭開始重復(fù)該過程。請注意，你必須同時(shí)按下Home和Power按鈕8秒鐘，這樣才能重新啟動設(shè)備，然后重新進(jìn)入DFU模式。另請注意，從安裝漏洞利用的角度來看，在大多數(shù)情況下，直接使用DFU是可行的。但是，如果你在嘗試?yán)迷撛O(shè)備時(shí)遇到錯(cuò)誤，則會看到報(bào)告，其中介紹了通過破解模式解決問題的方法。 Checkra1n越獄的開發(fā)人員還建議你首先使用破解模式。你可以嘗試使用任何一種方法。如果直接使用DFU時(shí)漏洞利用不起作用，請嘗試進(jìn)入破解模式。錯(cuò)誤消息如下所示：

另一個(gè)常見錯(cuò)誤是無法上傳iBSS，不過無需擔(dān)心這個(gè)問題。你的設(shè)備通常仍然與checkm8漏洞和本文講的方法兼容，你只需再嘗試一次。有時(shí)最多需要5次嘗試，而我們對此無能為力：這更多地與硬件和驅(qū)動程序質(zhì)量有關(guān)，這些問題無法在本文所使用的軟件中得到解決。

一旦成功地利用了設(shè)備并安裝了用戶分區(qū)，你就可以運(yùn)行四位或六位密碼的破解。

破解一個(gè)4位PIN碼通常需要12分鐘或更短的時(shí)間，而所有可能的6位密碼的完整枚舉最多可能需要21個(gè)小時(shí)。目前不支持字母數(shù)字密碼。

找到密碼后，通過選擇最后一個(gè)菜單項(xiàng)重新啟動iPhone。當(dāng)你可以訪問設(shè)備時(shí)，數(shù)據(jù)提取也就水到渠成了，開發(fā)人員將很快將為這些設(shè)備添加鑰匙串解密和完整文件系統(tǒng)提取。

 本文翻譯自：https://blog.elcomsoft.com/2020/08/iphone-5-and-5c-passcode-unlock-with-ios-forensic-toolkit/如若轉(zhuǎn)載，請注明原文地址