Han pasado casi tres meses y medio desde que el investigador independiente axi0mX hizo público el revolucionario exploit “checkm8”. Nuestro reciente blog “iOS Breakthrough Enables Lawful Access for Full File System Extraction” (el avance de iOS permite el acceso lícito a la extracción del sistema de archivo completo), hizo una introducción a los conceptos básicos. En este blog, nos enfocaremos en la práctica forense de checkm8 y presentaremos la primera implementación amplia del exploit en el mundo de la ciencia forense digital, presentado en la solución de UFED de Cellebrite.

Cómo la ciencia forense digital utiliza actualmente checkm8 y checkra1n

El primer uso de checkm8 en forenses comenzó poco después del 10 de noviembre cuando un grupo de investigadores lanzó el primer jailbreak para utilizar el exploit checkm8, denominado checkra1n. Rápidamente, este nuevo jailbreak fue adoptado y utilizado por examinadores para obtener extracciones del sistema de archivo de dispositivos iOS que tengan hecho el jailbreak.

Para utilizar checkra1n, fue necesario instalar en algunos dispositivos servicios adicionales como Cydia o AFC2 (por sus siglas en inglés referentes a Apple File Conduit 2), mientras que otros directamente funcionaron con el protocolo SSH. checkra1n fue un gran logro pero su introducción tuvo poco impacto en la mayoría de los examinadores por tres razones principales:

  1. Se considera que los métodos basados en jailbreak son de «menor» solidez forense.
  2. El examinador necesitaba una estación de trabajo macOS para aplicar la herramienta de terceros checkra1n.
  3. Bajo el plazo urgente del examinador, el proceso de múltiples fases (y a veces propenso a errores) lo hizo menos atractivo.

UFED 7.28 permite que checkm8 realice extracciones del sistema de archivo completo

Para poder beneficiarse del exploit checkm8 , los examinadores habituales esperan una solución integral fácil de usar, probada y testada por expertos. Por esta razón, Cellebrite presentó UFED 7.28 – una nueva versión de UFED que integra completamente checkm8. (La solución está disponible en las plataformas de UFED 4PC y Touch 2 de Cellebrite).

Ahora, UFED permite extracciones del sistema de archivo completo, que incluye también la extracción de llavero de dispositivos iOS desbloqueados (código de acceso conocido o ninguno configurado) y un sistema de archivos parcial (antes de desbloquear por primera vez o BFU por sus siglas en inglés) de dispositivos bloqueados con un código de acceso desconocido. La siguiente tabla enumera los dispositivos compatibles y las versiones de iOS:

Dispositivos compatibles y versiones de iOS – UFED 7.28

Dispositivo (SoC)

Mínima versión de iOS

Última versión de iOS*

iPhone 5S (A7)

12.3

12.4.4

iPhone 6 | iPhone 6 + (A8)

12.3

12.4.4

iPhone 6S | iPhone 6S + (A9)

12.3

13.3

iPhone SE (A9)

12.3

13.3

iPhone 7 | iPhone 7+ (A10)

12.3

13.3

iPhone 8 | iPhone 8+ (A11)

12.3

13.3

iPhone X (A11)

12.3

13.3

*Última versión de iOS verificada por UFED*

En el futuro, la última versión de iOS compatible se actualizará constantemente.

Para evitar confusiones con los términos “sistema de archivo completo” y “sistema de archivo parcial” (BFU), y para clarificar qué se puede realizar con cada dispositivo utilizando UFED, sugerimos la utilización del siguiente diagrama del flujo de decisiones. Para dispositivos bloqueados con un código de acceso desconocido, comuníquese con Cellebrite para recibir soporte adicional. 

Gráfico 1 – Diagrama de decisión de checkm8

Cómo localizar cada método  

Para cada dispositivo de la tabla de arriba, hemos agregado un nuevo método (botón) bajo Lógica avanzada llamado “Sistema de archivo completo” (checkm8). Presionar el botón lo llevará a una pantalla de instrucción general que describirá cómo poner el dispositivo en modo “Device Firmware Update” (DFU por sus siglas en inglés).

Poner un dispositivo en DFU puede parecer un poco complicado, así que siga los pasos que se describen a continuación para las versiones de iPhone enumeradas. El botón “Continuar” es solamente accesible si el dispositivo está en DFU. Puede comprobar si el ataque es exitoso mirando la pantalla del iPhone para ver si aparece el cliente de iOS de Cellebrite.

Guía DFU 


iPhone 5S | iPhone 6 | iPhone 6+ | iPhone 6S | iPhone 6S+ | iPhone SE

  1. Ponga el dispositivo en modo recuperación. (Debería aparecer el logotipo de iTunes de Apple).
  2. Presione el botón de “Encendido” durante tres segundos.
  3. Después de tres segundos presione simultáneamente ambos botones, el de Encendido y el de “Inicio” por otros 10 segundos.
  4. Suelte el botón de Encendido y siga presionando el botón de Inicio por otros cinco segundos.
  5. el “Continuar” de UFED debería estar activado.


iPhone 7 | iPhone 7+

  1. Ponga el dispositivo en modo recuperación. (Debería aparecer el logotipo de iTunes de Apple).
  2. Presione simultáneamente durante 10 segundos ambos botones, el de “Encendido” y el de “Reducir volumen”.
  3. Suelte el botón de Encendido y siga presionando el de Reducir volumen por otros 10 segundos.
  4. el “Continuar” de UFED debería estar activado.


iPhone 8 | iPhone 8+ | iPhone X

  1. Ponga el dispositivo en modo recuperación. (Debería aparecer el logotipo de iTunes de Apple).
  2. En la pantalla de recuperación, pulse una vez el botón de “Aumentar volumen”.
  3. Presione una vez el botón de “Reducir volumen”.
  4. Mantenga presionado el botón del “Lateral” hasta que la pantalla se apague por completo.
  5. Mantenga presionado por cinco segundos los dos botones a la vez, el del Lateral y el de Reducir volumen.
  6. Suelte el botón del Lateral y siga presionando el de Reducir volumen por otros 10 segundos.
  7. el “Continuar” de UFED debería estar activado.


El futuro de checkm8

El camino de checkm8 en UFED es solo el comienzo. Las nuevas versiones de SO pueden requerir de más investigación y desarrollo para que las respalden; el tiempo dirá cuánto esfuerzo será necesario. En versiones futuras, checkm8 puede permitir que los examinadores realicen extracciones profundas y “selectivas” para extraer directamente aplicaciones o archivos específicos, lo que ahorrará tiempo valioso durante las investigaciones.

El futuro se ve fascinante y aquí en Cellebrite prometemos continuar brindando las mejores herramientas de inteligencia digital que usted pueda esperar. Manténgase atento.

Share this post