Elcomsoft iOS Forensic Toolkit 4.0 ermöglicht die physische Erfassung von iOS-Schlüsselbund-Elementen

Für das Elcomsoft iOS Forensic Toolkit ist ein umfassendes Update erschienen, das erstmals die physische Erfassung von Elementen aus dem iOS-Schlüsselbund möglich macht und somit einen unkomplizierten Workflow für iOS-Geräte vom iPhone 5s bis hin zum iPhone X bietet. Mit dem Update entfällt der Support für ältere Geräte, außerdem beseitigt es überzählige Codezeilen und bietet eine überarbeitete Benutzeroberfläche.

iOS Forensic Toolkit wird generalüberholt und bietet die Möglichkeit, Daten aus dem iOS-Schlüsselbund zu extrahieren und zu entschlüsseln, die von 64-Bit-iOS-Geräten mit Jailbreak aus gespeichert wurden. Darüber hinaus bietet das neue Release eine Option zum Deaktivieren der automatischen Bildschirmsperre auf dem verbundenen Gerät sowie eine Option zum Abrufen von Absturzprotokollen. Das Tool verhindert die Aktivierung der automatischen Bildschirmsperre während der Erfassung, um sicherzustellen, dass alle Dateien extrahiert werden, auch solche mit den stärksten Sicherheitsattributen.

iOS Forensic Toolkit 4.0 bietet ab sofort alle denkbaren Optionen zum Extrahieren und Entschlüsseln von Daten von 64-Bit-jailbroken- und nicht-jailbroken-Geräten, einschließlich der letzten Generation von Apple-Hardware und -Software. Ohne einen Jailbreak können Experten eine logische Extraktion via iOS-System-Backups sowie App-Daten und einer Extraktion von Mediendateien durchführen. Wenn ein Jailbreak installiert werden kann, können Forensik-Experten das Dateisystem von 64-Bit-iPhones und iPads abbilden, Absturzprotokolle extrahieren und den Schlüsselbund entschlüsseln.

Schlüsselbund-Extraktion

Der iOS Schlüsselbund ist eine Lösung von Apple zum sicheren Speichern von Passwörtern, Keys, Zertifikaten, Zahlungsdaten und anwendungsspezifischen Anmeldeinformationen. Der Schlüsselbund ist sicher mit einem hardwarespezifischen Schlüssel verschlüsselt. Auf 64-Bit-Hardware (iPhone 5s sowie allen neueren iOS-Geräte) ist dieser Schlüssel zusätzlich mit Secure Enclave geschützt.

iOS Forensic Toolkit bietet mit dem Update auf Version 4.0 die Möglichkeit, während der physischen Extratktion Schlüsselbund-Elemente zu extrahieren und zu entschlüsseln, wodurch der Secure Enclave-Schutz auf Jailbreak-Geräten erfolgreich umgangen wird. Dabei wird der gesamte Inhalt des Schlüsselbunds einschließlich der mit dem ThisDeviceOnly-Attribut gesicherten Datensätze entschlüsselt. Solche Datensätze sind über eine logische Erfassung nicht erfassbar. Das Tool verhindert überdies die automatische Bildschirmsperre des iOS-Geräts während der Erfassung, um sicherzustellen, dass auch Datensätze mit den stärksten Sicherheitsattributen erfolgreich extrahiert und entschlüsselt werden.

Zugriff auf Absturzprotokolle

Crash-Protokolle sind ein wichtiger Bestandteil jener forensischen Beweise, die nicht in einem lokalen Backup enthalten sind. Jedoch können sie mithilfe von logischen Erfassungsmethoden aus dem Gerät extrahiert werden. Aus forensischer Sicht sind Crash-Logs interessant, da sie eine Liste installierter und deinstallierter Apps enthalten. Sobald ein Absturzprotokolleintrag entdeckt wird, der von einer App erstellt wurde, die nicht mehr im System vorhanden ist, kann davon ausgegangen werden, dass die App mindestens bis zu dem im Crash-Protokoll angegebenen Datum und Zeitpunkt auf dem Gerät installiert war. Darüber hinaus kann man eine Zeitleiste der Geräte-Verwendung basierend auf allen Zeitstempeln erstellen lassen, die in den Crash-Logs gefunden wurden.

iOS Forensic Toolkit 4.0 bietet die Möglichkeit, Absturzprotokolle von iOS-Geräten mit oder ohne Jailbreak zu extrahieren. Der Zugriff auf Absturzprotokolle erfordert ein gekoppeltes Gerät oder den Zugriff auf eine gültige Sperrdatei.

Neue Benutzeroberfläche

iOS Forensic Toolkit 4.0 verfügt über eine komplett neue Benutzeroberfläche mit einem optimierten Workflow für die aktuelleren Generationen von Apple-Geräten (iPhone 5s, 6 / 6s / 7/8 / Plus, iPhone SE und iPhone X). Die neue Benutzeroberfläche ist zwar noch konsolenbasiert, bietet jedoch einen übersichtlichen Schritt-für-Schritt-Workflow für aufeinander folgende Aktivitäten, die mit der logischen und physischen Erfassung verbunden sind. Ältere Geräte werden mit der neuen Version des Toolkits fortan nicht mehr unterstützt. Stattdessen steht die Kompatibilität mit neueren, in Umlauf befindlichen Geräten im Vordergrund. Forensik-Experten, die eine Unterstützung für ältere Apple-Geräte benötigen, müssen sich an ElcomSoft wenden, um eine entsprechende Build zu erhalten.

Siehe auch