I ricercatori di Elcomsoft, società russa specializzata nello sviluppo di soluzioni software per la sicurezza ed il recupero dei dati, hanno comunicato di aver scoperto un metodo che ha consentito loro di copiare e decifrare il contenuto della memoria degli Apple iPhone. I dispositivi mobili a marchio Apple che utilizzano la crittografia hardware sono gli iPhone 3GS, gli iPhone 4 oltre agli iPod Touch (dalla terza generazione in avanti) ed a tutti i modelli di iPad. Lo studio condotto da Elcomsoft è stato giudicato particolarmente interessante dal momento che, secondo quanto riferito, evidenzia un “modus operandi” attraverso il quale sembra possibile una lettura diretta del contenuto della memoria. Ne consegue quindi, ad esempio, la possibilità di intentare il recupero dei dati già cancellati. Come spiega Elcomsof, un approccio come quello proposto potrebbe essere utilizzato per le attività di analisi forense ossia per l’individuazione, l’estrazione e la documentazione di dati che possano essere ritenuti rilevati in un processo giuridico.
I tecnici dell’azienda russa hanno rivelato alcuni dettagli tecnici: affinché si possa accedere al contenuto della memoria degli “Apple-device“, è indispensabile caricare un driver RAMDisk in modalità DFU (Device Firmware Upgrade). Si tratta di un approccio simile a quello che viene impiegato sui personal computer per effettuarne il boot da una periferica d’avvio esterna. Dopo questo primo passo, la memoria flash potrà essere letta senza il bisogno di ricorrere ai driver di sistema di iOS. Per decifrare l’immagine del contenuto della memoria, Elcomsoft ha usato diverse chiavi, estratte ricorrendo a speciali strumenti eseguiti sull’iPhone o calcolate in tempo reale.
Andrey Belenko, di Elcomsoft, ha preferito non rivelare ulteriori informazioni limitandosi ad osservare come lo schema crittografico utilizzato sia piuttosto complesso (parzialmente documentato da Apple in questo documento PDF): esisterebbe una sorta di “gerarchia” secondo la quale certe chiavi vengono fatte derivare dalla chiave AES impostata a livello hardware.