iOS Forensic Toolkit 8.0 Beta 3: Forensisch fundierte checkm8-Extraktion von iPhone 7, iOS 15.2-Unterstützung

Die dritte Beta von Elcomsoft iOS Forensic Toolkit 8.0 für Mac wird veröffentlicht und bringt forensisch fundierte checkm8-Extraktion auf iPhone 7- und 7 Plus-Geräte mit iOS 10 bis 13, mit eingeschränkter Unterstützung für iOS 14 und 15. Für ältere Geräte wird die Unterstützung von iOS 15.2 hinzugefügt. Schließlich haben wir die Schlüsselbund-Entschlüsselung für unterstützte Geräte implementiert, auf denen iOS 15.x ausgeführt wird.

Elcomsoft iOS Forensic Toolkit 8.0 Beta 3 für Mac erweitert die Palette der unterstützten Geräte um das iPhone 7 und 7 Plus. Die neue Beta bietet eine forensisch fundierte Extraktion von iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus, iPhone SE (erste Generation), iPhone 7 und iPhone 7 Plus mit einem bekannten oder leeren Bildschirmsperrcode. Im Vergleich zur zweiten Beta bietet EIFT 8.0 Beta 3 Unterstützung für iOS 15.2 (iPhone 6s/6s Plus/SE/7/7 Plus), was eine Bootloader-basierte, forensisch fundierte Extraktion unterstützter Geräte mit den neuesten verfügbaren Versionen von iOS ermöglicht. Darüber hinaus wird die Schlüsselbund-Entschlüsselung jetzt für alle kompatiblen Geräte mit iOS 15.x unterstützt.

Die Unterstützung für das iPhone 7 gliedert sich in die folgenden Teile. Für iPhone 7 und 7 Plus mit iOS 10.0 bis 13.x – die komplette, forensisch fundierte checkm8-Extraktion. Das Tool kann das Dateisystem extrahieren und den Schlüsselbund ohne Änderungen am Gerät entschlüsseln, wodurch die Unveränderlichkeit der Daten erhalten bleibt. Es ist nicht erforderlich, den Passcode zu entfernen.

Bei iPhone 7- und 7 Plus-Geräten mit iOS 14 und 15 (bis einschließlich iOS 15.2) müssen Sie den Passcode für die Bildschirmsperre entfernen, um den Exploit zu verwenden. Da das Entfernen des Passcodes das Booten des Geräts im ursprünglichen Betriebssystem erfordert, ist dieser Vorgang nicht forensisch einwandfrei. Sobald der Passcode entfernt wird, führt das Tool die Extraktion des Dateisystems und die Entschlüsselung des Schlüsselbunds aus.

Um digitale Beweise zu sichern, beginnt die Datenunveränderlichkeit ab dem ersten Zeitpunkt der Datenerhebung, um sicherzustellen, dass die während der Ermittlungen gesammelten digitalen Beweise vor Gericht zulässig bleiben. Mit Elcomsoft iOS Forensic Toolkit stellen wir eine forensisch fundierte Extraktionslösung vor, die überprüfbare und wiederholbare Ergebnisse bei nachfolgenden Extraktionen bietet. Bei Verwendung von iOS Forensic Toolkit auf einem unterstützten Gerät stimmt die Prüfsumme des ersten extrahierten Images mit den Prüfsummen nachfolgender Extraktionen überein, vorausgesetzt, das Gerät wird zwischen den Extraktionen ausgeschaltet und bootet in der Zwischenzeit nicht die installierte Version von iOS.

Die neue Extraktionsmethode ist die bisher sauberste. Unsere Implementierung des Bootloader-basierten Exploits ist direkt vom Quellcode abgeleitet, das heißt, dass wir dies basierend auf unserer hauseigenen technischen Forschung umgesetzt haben und es nicht auf Jailbreak basiert, wie es generell bisher gemacht wird. Alle Arbeiten werden vollständig im RAM ausgeführt, und das auf dem Gerät installierte Betriebssystem bleibt unberührt und wird während des Bootvorgangs nicht verwendet.

Mit diesem Update erweitert Elcomsoft iOS Forensic Toolkit die Liste der unterstützten Geräte und iOS-Versionen und wird zum fortschrittlichsten iOS-Erfassungstool auf dem Markt. Es ist das einzige wirklich forensisch fundierte Werkzeug, das nach nachfolgenden Extraktionen wiederholbare Ergebnisse liefert.

Versionshinweise

  • Volle Unterstützung für iPhone 7 und 7 Plus, iOS 10/11/12/13 wurde hinzugefügt
  • Teilweise Unterstützung für iPhone 7 und 7 Plus, iOS 14 und 15 (bis 15.2) wurde hinzugefügt
  • iOS 15.2-Unterstützung für iPhone 6s/SE wurde hinzugefügt
  • Schlüsselbund-Extraktion für alle unterstützten Geräte mit iOS 15.x wurde hinzugefügt
  • checkm8-Exploit Fixes und Stabilitätsverbesserungen

Siehe auch