ElcomSoft的研究人员最近又发现了一种破解具有未知屏幕锁定密码保护的加密iPhone的方法。

此方法支持两种旧版iPhone机型iPhone 5和5c，并且需要一台Mac既可完成破解。

此方法绝对是只需要相应软件完成既可以；它不需要焊接、拆卸或购买额外的硬件。

你需要的是iOS Forensic Toolkit（新版本https://www.elcomsoft.com/eift.html），一台Mac计算机和USB-A至Lightning数据线。

在本文中，我们将演示如何在iPhone 5和5c设备上破解密码。

密码破解

Apple实施了强大的保护措施，以保护其设备免受暴力破解。

尽管较新的设备（iPhone 5s及其以上版本）依靠Secure Enclave将破解概率降至最小，但32位设备（例如iPhone 5和5c）没有配备硬件安全协处理器。

因此，无论是在锁屏输入无效密码后不断升级的时间延迟，还是在尝试10次不成功后清除设备的可选设置，都在iOS软件中强制执行。

禁用这些机制消除了数据丢失的风险，并关闭了不断升级的延时，使破解能够以每秒刚好13.6个密码的速度进行，这非常接近Apple两次密码尝试之间80毫秒的目标。

破解4位和6位PIN码

考虑到每秒13.6个密码的速度，只需12分钟即可尝试所有可能的4位PIN码组合。但是，所有6位PIN的枚举最多需要21个小时。

因此，我们将首先尝试使用最受欢迎的密码。

共有2910个常用的6位数PIN，仅需4分钟即可对其进行测试。

此列表后面是基于用户出生日期的6位PIN码；大约有74K可能的组合，大约需要1.5个小时。

只有在这些选择都用尽之后，才会开始持续21个小时的暴力破解。

字母加数字密码

以给定的速度，除非你将用户的其他密码作为目标字典，否则字母数字密码的破解变得非常困难。

目前，iOSForensic Toolkit不支持字母数字密码。

如果检测到字母数字密码，你将看到“不支持”消息，并且破解将停止。

在密码破解，你将需要以下一些设备：

          1.兼容的iPhone型号，支持的设备包括iPhone 5（A1428，A1429，A1442）和iPhone 5c（A1456，A1507，A1516，A1526，A1529，A1532）型号；

          2.具有macOS 10.12（Sierra）至10.15（Catalina）的台式或便携式计算机；

          3.Lightning数据线，由于Apple和大多数第三方USB-C到Lightning数据线之间存在已知的不兼容性，请使用USB-A到Lightning。

如果需要，可以使用可选的USB-C到USB-A适配器；

         4.iOS Forensic Toolkit 6.40或更高版本；

解锁iPhone 5c的步骤

首先，请按照以下预备步骤安装iOS Forensic Toolkit，并使自己熟悉checkra1n越狱行为：

       1.下载Elcomsoft iOSForensic Toolkit，插入USB加密狗。

       2.按照如何在Mac上安装和运行iOSForensic Toolkit中的说明安装工具包，请注意，在macOS Catalina上还有一个额外的强制性步骤。

      3.请查看checkra1n安装提示和技巧，特别是：

           3.1没有hubs；

      3.2仅使用USB-A到Lightning数据线（不能使用USB-C到Lightning）；

           3.3确保手机已充电至少20％；

安装，配置并启动Elcomsoft iOS Forensic Toolkit后，请在主窗口中输入“P”以访问密码破解功能。

有下列选项可供选择：

        [1]将设备置于DFU模式；

        [2]漏洞利用设备；

        [3]破解4位数密码；

        [4]破解6位数密码

        [5]重新启动设备

因为密码破解功能是基于checkm8漏洞的，因此你需要将设备切换到DFU模式。

这只能在设备上手动完成，但是，在工具箱中选择[1]选项将指导你完成该过程。

切换手机到DFU模式的方法可能不止一种（此处有更多介绍）：

        1.确保设备未连接到计算机并且已关闭；

        2.按下Home按钮，插入Lightning数据线，按住Home按钮，直到设备在显示屏上显示“Connect to iTunes”，然后放开Home按钮。

        3.同时按住Home和Sleep / Power（顶部）按钮8秒钟（Apple徽标会出现一段时间，然后屏幕变黑）。

        4.松开“睡眠/电源”按钮，但再按住Home按钮8秒钟。

        5.松开“睡眠/电源”按钮。

如果一切正确，屏幕应保持空白，手机应该以破解模式出现在iTunes或Finder(取决于macOS版本)中。

现在，它准备采取进一步的步骤。

设备进入DFU模式后，选择第二个选项，让它启动一个特殊的自定义固件。

这个过程对手机的数据是安全的。

它不会改变设备上的任何东西，因为攻击完全在设备易失性内存中工作，将不会在设备上留下任何痕迹。

如果漏洞由于某种原因失败，请从头开始重复该过程。

请注意，你必须同时按下Home和Power按钮8秒钟，这样才能重新启动设备，然后重新进入DFU模式。

另请注意，从安装漏洞利用的角度来看，在大多数情况下，直接使用DFU是可行的。

作为一个开发者，有一个学习的氛围跟一个交流圈子特别重要，这有个iOS交流群：642363427，不管你是小白还是大牛欢迎入驻 ，分享BAT,阿里面试题、面试经验，讨论技术，iOS开发者一起交流学习成长！

但是，如果你在尝试利用该设备时遇到错误，则会看到报告，其中介绍了通过破解模式解决问题的方法。

Checkra1n越狱的开发人员还建议你首先使用破解模式。

你可以尝试使用任何一种方法。

如果直接使用DFU时漏洞利用不起作用，请尝试进入破解模式。

错误消息如下所示：

另一个常见错误是无法上传iBSS，不过无需担心这个问题。

你的设备通常仍然与checkm8漏洞和本文讲的方法兼容，你只需再尝试一次。

有时最多需要5次尝试，而我们对此无能为力：

    这更多地与硬件和驱动程序质量有关，这些问题无法在本文所使用的软件中得到解决。

一旦成功地利用了设备并安装了用户分区，你就可以运行四位或六位密码的破解。

破解一个4位PIN码通常需要12分钟或更短的时间，而所有可能的6位密码的完整枚举最多可能需要21个小时。目前不支持字母数字密码。

找到密码后，通过选择最后一个菜单项重新启动iPhone。

当你可以访问设备时，数据提取也就水到渠成了，开发人员将很快将为这些设备添加钥匙串解密和完整文件系统提取。

查看原文