Elcomsoft iOS Forensic Toolkit wurde auf Version 5.10 aktualisiert, um die physische Erfassung von Apple-Geräten mit iOS 12.2 und 12.4 zu ermöglichen. Das Toolkit extrahiert das gesamte Dateisystem und entschlüsselt die im iOS-Schlüsselbund gespeicherten Kennwörter und Authentifizierungs-Informationen.
Mit dem Update 5.10 für Elcomsoft iOS Forensic Toolkit 5.10 ist es möglich, Apple-Geräte mit iOS 12.2 und 12.4 physisch zu erfassen. Das Toolkit extrahiert das Dateisystem auf allen Geräten, die von unc0ver- und Chimera-Jailbreaks unterstützt werden, einschließlich iPhone Xr und iPhone Xs. Darüber hinaus kann das Toolkit den iOS-Schlüsselbunds entschlüsseln, um gespeicherte Kennwörter und Authentifizierungs-Informationen zu extrahieren (mit Ausnahme von Geräten, die auf dem A12 Bionic-Chipsatz basieren).
Zur physischen Erfassung müssen Experten einen Jailbreak installieren: Zwei Jailbreak-Tools, unc0ver und Chimera, sind für iOS 12.2 und iOS 12.4 verfügbar. Wir empfehlen vorerst den Chimera-Jailbreak für die meisten Geräte zu verwenden, während unc0ver derzeit die einzige Option für das iPhone Xr / Xs und iPad Pro (3. Generation) ist. Die empfohlene Version von unc0ver ist 3.5.5. Im Gegensatz zu neueren Builds wird das Dateisystem nicht erneut bereitgestellt und die Systempartition nicht geändert, sodass ein ähnliches Verhalten wie bei RootlessJB auftritt.
Sofern auf dem Gerät iOS 12.3, 12.3.1 oder 12.3.2 ausgeführt wird, muss das Gerät auf iOS 12.4 aktualisiert werden, um den Jailbreak zu installieren. Gegenwärtig ist es noch möglich, ein Jailbreak für ein iPhone oder iPad mit iOS 12 durchzuführen. Jedoch wird es nicht mehr lange dauern, bis Apple auch hier die Sicherheitslücke schließt und das Jailbreak nicht mehr verfügbar ist.
Weitere Informationen zu iOS 12.4-Jailbreaks und deren Auswirkungen auf die forensische Community finden Sie in unserem Blog: Why iOS 12.4 Jailbreak Is a Big Deal for the Law Enforcement
Versionshinweise:
Weiterlesen
• Blog-Post lesen: «iOS 12.4 File System Extraction» (auf Englisch)Links