Há quase três meses e meio, o pesquisador independente axi0mX disponibilizou o revolucionário exploit “checkm8”. Uma publicação recente em nosso blog “iOS Breakthrough Enables Lawful Access for Full File System Extraction” apresentou as noções básicas. Nesta publicação, vamos nos concentrar no uso forense do checkm8 e apresentar a primeira implementação abrangente do exploit no mundo da perícia digital, fornecida na solução Cellebrite UFED.

Como a perícia digital está usando o checkm8 e o checkra1n

O checkm8 começou a ser usado na perícia logo depois do dia 10 de novembro, quando um grupo de pesquisadores lançou o primeiro jailbreak para utilizar o exploit checkm8, denominado checkra1n. Ele foi rapidamente adotado e usado por examinadores para fazer extrações de sistema de arquivos em dispositivos iOS que sofreram jailbreak.

Para utilizar o checkra1n, alguns dispositivos precisavam da instalação de serviços adicionais, como Cydia ou AFC2 (Apple File Conduit 2), enquanto outros trabalhavam diretamente com o protocolo SSH. O checkra1n foi um grande avanço. No entanto, a introdução dele teve pouco impacto na maioria dos examinadores por três motivos principais:

  1. Considera-se que métodos com base em jailbreak têm “menos” solidez forense
  2. O examinador precisava de uma estação de trabalho macOS para aplicar a ferramenta checkra1n de terceiros
  3. Como o examinador tem pouco tempo, o processo em várias fases (e, às vezes, propenso a erros) se tornava menos atrativo

Com o UFED 7.28, o checkm8 pode fazer extrações de sistema de arquivos completo

Para poderem aproveitar o exploit checkm8, os examinadores comuns necessitam de uma solução completa e fácil de usar, testada e comprovada por especialistas. Foi por isso que a Cellebrite introduziu o UFED 7.28, uma nova versão do UFED que integra totalmente o checkm8. (A solução está disponível nas plataformas UFED 4PC e Touch 2 da Cellebrite.)

Agora, o UFED dá suporte a extrações de sistema de arquivos completo, que também incluem a extração de keychain em dispositivos iOS desbloqueados (senha conhecida ou nenhuma senha definida) e sistema de arquivos parcial (antes do primeiro desbloqueio) em dispositivos bloqueados com senha desconhecida. A tabela abaixo mostra os dispositivos e as versões do iOS com suporte.

Dispositivos e versões do iOS com suporte – UFED 7.28

Dispositivo (SoC)

Versão mínima do iOS

Versão mais recente do iOS*

iPhone 5S (A7)

12.3

12.4.4

iPhone 6 | iPhone 6 +(A8)

12.3

12.4.4

iPhone 6S | iPhone 6S + (A9)

12.3

13.3

iPhone SE (A9)

12.3

13.3

iPhone 7 | iPhone 7+ (A10)

12.3

13.3

iPhone 8 | iPhone 8+ (A11)

12.3

13.3

iPhone X (A11)

12.3

13.3

*Versão mais recente do iOS verificada no UFED

No futuro, a versão mais recente do iOS com suporte será atualizada de forma contínua.

Para evitar confusão com os termos “sistema de arquivos completo” e “sistema de arquivos parcial” (BFU), assim como elucidar o que pode ser feito em cada dispositivo com o UFED, sugerimos usar o fluxograma de decisão abaixo. Para dispositivos bloqueados com senha desconhecida, entre em contato com a Cellebrite e peça suporte adicional. 

Figura 1 Diagrama de decisão do checkm8

Como localizar o novo método  

Para cada dispositivo na tabela acima, adicionamos um novo método (botão) sob Lógica avançada, denominado “Sistema de arquivos completo” (checkm8). Ao pressionar o botão, você chegará a uma tela de instruções gerais que explicará como colocar o dispositivo no modo de “Atualização do Firmware do Dispositivo” (DFU).

Colocar um dispositivo em DFU pode ser um pouco complicado. Siga as etapas abaixo para as versões de iPhone listadas. O botão “Continuar” será habilitado somente se o dispositivo estiver em DFU. Para ver se o ataque foi bem-sucedido, olhe para a tela do iPhone e veja se o cliente Cellebrite iOS está aparecendo.

Guia de DFU 


iPhone 5S | iPhone 6 | iPhone 6+ | iPhone 6S | iPhone 6S+ | iPhone SE

  1. Coloque o dispositivo no modo de recuperação. (O logotipo do Apple iTunes deve aparecer.)
  2. Pressione o botão “Ligar” por três segundos.
  3. Depois de três segundos, pressione simultaneamente os botões “Ligar” e “Início” por mais 10 segundos.
  4. Solte o botão “Ligar”, mas mantenha o botão “Início” pressionado por mais cinco segundos.
  5. O botão “Continuar” do UFED deverá ser habilitado.


iPhone 7 | iPhone 7+

  1. Coloque o dispositivo no modo de recuperação. (O logotipo do Apple iTunes deve aparecer.)
  2. Pressione simultaneamente os botões “Ligar” e “Diminuir volume” por 10 segundos.
  3. Solte o botão “Ligar”, mas mantenha o botão “Diminuir volume” pressionado por mais 10 segundos.
  4. O botão “Continuar” do UFED deverá ser habilitado.


iPhone 8 | iPhone 8+ | iPhone X

  1. Coloque o dispositivo no modo de recuperação. (O logotipo do Apple iTunes deve aparecer.)
  2. Na tela de recuperação, pressione rapidamente o botão “Aumentar volume”.
  3. Pressione rapidamente o botão “Diminuir volume”.
  4. Pressione e segure o botão “Lateral” até a tela desligar por completo.
  5. Pressione e segure simultaneamente os botões “Lateral” e “Diminuir volume” por cinco segundos.
  6. Solte o botão “Lateral”, mas mantenha o botão “Diminuir volume” pressionado por mais 10 segundos.
  7. O botão “Continuar” do UFED deverá ser habilitado.


O futuro do checkm8

A trajetória do checkm8 no UFED está apenas começando. Novas versões do sistema operacional poderão precisar de pesquisa e desenvolvimento adicionais para ter suporte. Só o tempo dirá o tamanho do esforço necessário. Nas versões futuras, o checkm8 poderá permitir que os examinadores façam extrações profundas e “seletivas” para extrair diretamente aplicativos ou arquivos específicos. Isso economizará um tempo importante durante as investigações.

O futuro parece promissor. Aqui na Cellebrite, prometemos continuar oferecendo as melhores ferramentas de inteligência digital que você sabe que pode esperar. Fique ligado.

Share this post