Hasta que Apple introdujo Data Protection para cifrar el contenido del disco, realizar un análisis forense de un dispositivo iPhone original, iPhone 3G o iPhone 3GS
era bastante sencillo. Bastaba con capturar los datos y analizarlos
manualmente o con herramientas profesionales. Con la llegada de Data Protection, iOS 4.X y y los nuevos iPhone 4
hubo que buscar la manera de romper el cifrado para poder adquirir los
datos y de trabajar con los discos cifrados. Por suerte, se descubrió el
exploit de BootRom y se generaron las herramientas de iPhone Data Protection
para poder gestionar el cifrado, lo que permitía el acceso al disco, la
adquisición de evidencias y su posterior análisis de datos.
La cosa se complicó cuando Apple cerró el bug de BootRom y siguió manteniendo un cifrado robusto del terminal. Poder adquirir los datos de un iPhone 4S o un iPhone 5 exigía buscar otras formas menos directas, quedando las alternativas reducidas a:
1) Conseguir el passcode o que el terminal estuviera sin él
2) Conseguir el acceso al backup de iCloud mediante las claves de Apple ID
3) Conseguir acceso al equipo pareado donde estuviera el backup o desde el que conectar la herramienta
Si alguien hubiera sido lo suficiente paranoico como para tener un iPhone 4S o iPhone 5 con un passcode complejo sin jailbreak, al que no hubiera pareado ningún equipo para hacer backup, y que tuviera desactivada la opción de usar backup en Apple iCloud, lo único que queda es averiguar el passcode, o desistir. En el caso de los iPad apareció un curioso bug en el uso de teclados externos que abría una posibilidad para conseguirlo - siempre que el usuario no tuviera la opción de borrado de datos tras varios intentos fallidos -, pero para los iPhone 4S o iPhone 5 solo quedan trucos para saltarse el passcode y acceder parcialmente a los datos.
