Bei der Verwendung der macOS-Version von Elcomsoft iOS Forensic Toolkit 6.50 muss nicht mehr zwingend auf eine kostenpflichtiges Apple Developer-Konto zurück gegriffen werden, wenn das Dateisystem extrahiert und der Schlüsselbund eines iPhone oder iPad entschlüsselt wird. Die neue Version bietet außerdem eine jailbreakfreie agentenbasierte Datenextraktion für iOS-Versionen bis einschließlich iOS 13.5.
Mit Version 6.50 des Elcomsoft iOS Forensic Toolkit 6.50 Mac ist es erstmals möglich, eine Jailbreak-freie Extraktion aus einer Vielzahl kompatibler Apple-Mobilgeräte durchzuführen. Die Besonderheit: Hierfür muss sich der Anwender nicht als Apple-Entwickler registrieren. Die neue Funktion erfordert nur einen Mac. Darüber hinaus bietet die neue Version eine jailbreakfreie Datenextraktion für iOS-Versionen bis einschließlich iOS 13.5.
In der Vergangenheit konnten iOS-Benutzer und Forensiker Drittanbieter-Apps mithilfe einer Apple-ID zum Signieren der Binärdatei installieren. In diesem Zusammenhang wurde Cydia Impactor des Öfteren erwähnt, aber es gab auch Alternativen. Im November 2019 führte Apple eine serverseitige Änderung an seinem Bereitstellungsdienst durch und blockierte damit den Seitenlademechanismus für alle Anwender, außer für jene, die ein kostenpflichtigen Apple Developer-Konto besaßen. Seitdem war es nur Anwender mit Apple Developer-Konto möglich oder dem noch teureren Enterprise-Konto möglich, auf die Binärdateien zuzugreifen.
Bei der Jailbreak-freien Extraktion wird ein von ElcomSoft entwickelter Extraktions-Agent verwendet. Diese Agenten-basierte Methode bietet viele Vorteile im Vergleich zu herkömmlichen Extraktions-Methoden, die bei der Extraktion auf einen Jailbreak setzen. Zudem arbeitet der ElcomSoft-Agent sicherer, schneller und stabiler.
Allerdings hat die Agenten-basierte Methode einen großen Nachteil: Es erfordert ein Apple-Konto, das im Apple Developer-Programm registriert ist. ElcomSoft hat sogar einen Blog-Artikel erstellt, in dem erklärt wird, warum ein Entwicklerkonto erforderlich ist. Unter der Verwendung eines im Developer-Programm registrierten Kontos ist sowohl das Signieren von ins System geladenen Apps als auch das Überspringen der Signatur-Überprüfung auf einem Gerät möglich. Letzteres ist wichtig, da sonst das Gerät mit dem Internet verbunden werden müsste.
Das iOS Forensic Toolkit 6.50, das auf einem Computer mit macOS ausgeführt wird, hebt diese Einschränkung vollständig auf. Mit dem Tool lassen sich nun Wegwerf-IDs von Apple verwenden, um das Dateisystem zu extrahieren und den Schlüsselbund von einem iPhone oder iPad zu extrahieren. Wenn bereits ein Apple Developer-Konto vorhanden ist, empfiehlt ElcomSoft, dieses Konto zum Laden der Extraktions-Binärdatei zu verwenden, da sich dadurch handfeste Vorteile ergeben.
Versionshinweise: