Im Elcomsoft iOS Forensic Toolkit 8.10 wird nun die forensisch fundierte checkm8-Extraktions-Unterstützung für iOS, iPadOS und tvOS 16.2 hinzugefügt. Wir fügen auch Agenten-basierte Extraktions-Unterstützung für iOS 15.5 hinzu und aktualisieren Elcomsoft iOS Forensic Toolkit 7.70, um die Probleme bei der Installation des Extraktions-Agenten in der Windows-Edition zu beheben.
Elcomsoft iOS Forensic Toolkit 8.10 bietet Unterstützung für Low-Level-Dateisystem-Extraktion und Schlüsselbund-Entschlüsselung für Apple-Geräte mit iOS, iPadOS und tvOS 16.2. Der neue Build ermöglicht die forensisch fundierte checkm8-Extraktion von kompatiblen iPhone-, iPad- und Apple-TV-Geräten bis einschließlich der iPhone-X-Reihe sowie von iPad- und Apple-TV-Geräten mit entsprechendem SoC.
Die Möglichkeit, die checkm8-Extraktion zu verwenden, ist auf iPhone 8, 8 Plus und iPhone X eingeschränkt. Auf diesen Geräten funktioniert die Extraktion nur, wenn seit der Ersteinrichtung noch nie ein Passwort für die Bildschirmsperre auf dem Gerät verwendet wurde. Diese Einschränkung gilt nicht für iPad- oder Apple TV-Modelle, aber möglicherweise müssen Sie den Passcode für die Bildschirmsperre entfernen, wenn Sie ein iPadOS 16-Gerät erwerben.
Der neue Build bringt auch experimentelle agentenbasierte Low-Level-Extraktionsunterstützung für iOS/iPadOS 15.5, allerdings nur für A12 und neuere Geräte. Der für iOS/iPadOS 15.5 verwendete Exploit ist komplex, daher ist die Stabilität der Extraktion nicht garantiert. Wir werden es sicher in späteren Versionen beheben. Für A11 und ältere Geräte ist die erweiterte checkm8-Extraktion verfügbar.
Elcomsoft iOS Forensic Toolkit 8.10 ist vorerst nur für Mac-Computer verfügbar. Aus diesem Grund behalten wir auch eine ältere Version des Produkts bei, die auch als Windows-Edition verfügbar ist. In dieser Version haben wir den Signaturmechanismus des Extraktions-Agenten überarbeitet, wodurch die Möglichkeit, den Agenten von einem Windows-PC zu laden, wieder aktiviert wird. Der neue Signaturmechanismus verwendet jetzt normale Apple-ID-Passwörter anstelle der zuvor verwendeten Einmalpasswörter, aber Sie benötigen immer noch eine Apple-ID, die im Apple Developer Program registriert ist, um den Extraktions-Agenten zu laden und zu signieren.
Einzelheiten zu den auf den verschiedenen Plattformen unterstützten Extraktionsarten finden Sie in der folgenden Tabelle:
iOS Forensic Toolkit ist die einzige Lösung auf dem Markt, die die checkm8-Extraktion von Apple TV-Modellen einschließlich der Schlüsselbunddaten unterstützt. Das Apple TV ist das einzige Modell, das nicht mit einem Passcode geschützt werden kann, was es zu einer wertvollen Quelle für zugängliche Beweise macht.
Die checkm8-basierte Extraktion ist die sauberste, sicherste und technologisch fortschrittlichste Extraktions-Methode, die für eine Reihe von Apple-Geräten mit einem anfälligen Bootloader verfügbar ist. Im Vergleich zu anderen Erfassungs-Methoden ist unsere Implementierung von checkm8 die einzige wirklich forensisch fundierte Lösung, die wiederholbare und überprüfbare Extraktionen liefert. Im Vergleich zur logischen Erfassung liefert die Low-Level-Extraktion deutlich mehr Informationen und entschlüsselt den gesamten Inhalt des Schlüsselbunds, einschließlich Verschlüsselungsschlüssel und Authentifizierungs-Token.
Elcomsoft iOS Forensic Toolkit 8.10 Versionshinweise:
Elcomsoft iOS Forensic Toolkit 7.70 (Windows-Edition) Versionshinweise:
Elcomsoft iOS Forensic Toolkit 7.70 (macOS-Edition) Versionshinweise:
Weiterlesen
• Blog-Post lesen: «iOS Forensic Toolkit 8: Apple TV 3, 4, and 4K checkm8 Extraction Cheat Sheet» (auf Englisch)Links