Elcomsoft iOS Forensic Toolkit wird auf Version 5.0 aktualisiert. Dies ist ein wichtiges Update, das die physische Erfassung von Apple-Geräten, auf denen iOS 12 läuft, unterstützt. Das Tool extrahiert den Inhalt des Dateisystems und entschlüsselt Kennwörter und Authentifizierungs-Informationen, die im iOS-Schlüsselbund gespeichert sind.
Elcomsoft iOS Forensic Toolkit 5.0 ermöglicht Forensik-Experten die physische Erfassung von Apple-Geräten, auf denen alle Versionen von iOS 12 bis einschließlich iOS 12.1.2 ausgeführt werden. Das Toolkit ermöglicht das Extrahieren des Dateisystems für alle Geräte, die den aktuellen Rootless-Jailbreak von iOS 12 unterstützen, und ermöglicht so das Entschlüsseln des Schlüsselbundes, um gespeicherte Kennwörter und Authentifizierungs-Informationen zu extrahieren.
Zum ersten Mal ist iOS Forensic Toolkit nicht auf einen eigenständigen Jailbreak angewiesen, um auf das Dateisystem zuzugreifen. Stattdessen verwendet das Toolkit einen Rootless-Jailbreak, der deutlich weniger Speicherplatz als ein traditioneller Jailbreak benötigt. Im Gegensatz zu herkömmlichen Jailbreaks stellt ein Rootless-Jailbreak das Dateisystem nicht erneut bereit und ändert den Inhalt der Systempartition nicht. Infolgedessen kann der Rootless-Jailbreak nach der Erfassung vollständig entfernt werden, ohne dass eine Systemwiederherstellung erforderlich ist, um die Systempartition in ihren ursprünglichen, unveränderten Zustand zurückzusetzen.
Elcomsoft iOS Forensic Toolkit unterstützt zahlreiche Optionen zum Extrahieren und Entschlüsseln von Daten auf 64-Bit-Geräten – mit oder Jailbreak – einschließlich der aktuellen Generation von Apple-Hardware und -Software. Ohne einen Jailbreak können Experten mithilfe von iOS-Systemsicherungen eine logische Extraktion durchführen und gemeinsam genutzte Anwendungsdaten und Mediendateien extrahieren. In bestimmten Fällen ist das logische Extrahieren auch bei gesperrtem iPhone-Geräten möglich. Wenn ein Jailbreak installiert werden kann, können Experten das Dateisystem von 64-Bit-iPhones und iPads abbilden, geschützte Anwendungsdaten und Arbeitsdatenbanken extrahieren.
Die physische Erfassung bietet im Vergleich zu allen anderen Erfassungsoptionen zahlreiche Vorteile, da sie den Zugriff auf geschützte Teile des Dateisystems ermöglicht und Daten extrahiert, die nicht mit der iCloud synchronisiert oder in lokalen Sicherungen enthalten sind. Insbesondere die physische Erfassung stellt die einzige Methode zum Entschlüsseln von Schlüsselbund-Elementen dar. Schlüsselbund-Elemente stellen die höchste Schutzklasse dar. Über die Dateisystem-Extraktion erhält man vollen Zugriff auf Anwendungs-Sandboxen sowie auf alle Systembereiche und geheime Chats. Außerdem ist es damit möglich, gelöschte Nachrichten wiederherzustellen. Zu den ausschließlich über die Dateisystem-Extraktion verfügbaren Daten zählen: heruntergeladene E-Mail-Nachrichten, Chat-Datenbanken und Daten von Zwei-Faktor-Authentifizierungs-Apps, Systemprotokolle und detaillierte Standortdaten.
Derzeit wird rootless Jailbreak auf den meisten Geräten unterstützt, auf denen iOS 12 ausgeführt werden kann. ElcomSoft geht davon aus, dass die Liste der unterstützten Geräte im Laufe des Jahres zunimmt.