Die Sicherheitsforscher der russischen Firma Elcomsoft, die sich in der Vergangenheit dank ihrer hilfreichen Tools zur Entschlüsslung von Office-Dokumenten einen Namen gemacht haben, haben nun einen Weg gefunden, den Speicher von iPhones mit aktivierter Hardwareverschlüsselung (3GS und 4) auszulesen und dabei gleich zu entschlüsseln. Damit können auch bereits gelöschte Daten restauriert werden, ein sehr interessantes Feature für  Ermittlungs- und Regierungsbehörden sowie Nachrichtendiensten. Das iPhone wird in den DFU-Mode versetzt und über einen speziellen Kernel samt RAM-Disk-Treiber gebootet. Damit kann man dann den Flash-Speicher 1:1 auslesen und abspeichern. Die Entschlüsselung  erfolgt dann über spezielle, auf dem iPhone laufende Tools. Ein mit einem Passcode gesichertes iPhone stellt nochmals eine zusätzliche Hürde da. Diese umgeht Elcomsoft per Brute Force. Dabei probierte eine auf dem iPhone laufende App die möglichen 10.000 Zahlenkombinationen innerhalb von 40 Minuten durch. Ein längeres, gut gewähltes Passwort könnte den Angriff erheblich erschweren. Die entschlüsselten RAM-Abbilder der iPhones lassen sich laut Elcomsoft mit  den üblichen Forensik-Tools wie zum Beispiel Guidance EnCase oder AccessData FTK untersuchen lassen.