Elcomsoft iOS Forensic Toolkit 8.20 und 7.80 fügen Low-Level-Extraktions-Unterstützung für eine Reihe von iOS-Versionen hinzu, indem sie Teile des Dateisystems auslesen. Die neu unterstützten iOS-Versionen gehen bis zu iOS 16.1.2. Die neue Methode unterstützt Geräte, die mit den Chips A11 bis A16 Bionic gebaut wurden, und deckt somit die iPhone 8/X- bis iPhone 14-Reihe ab. Sie unterstützt auch viele iPads, einschließlich derer, die auf Apple M1- und M2-Chips basieren.
Elcomsoft iOS Forensic Toolkit 8.20 (nur Mac) und 7.80 (Mac und Windows) bieten partielle Extraktions-Unterstützung auf unterster Ebene für Apple-Geräte, die auf den Chips A11 bis A16 Bionic basieren. Dazu gehören Modelle wie das iPhone 8, 8 Plus, iPhone X bis hin zu den aktuellen Modellen des iPhone 14 bis iPhone 14 Pro Max. Darüber hinaus unterstützt die neue Methode iPad-Modelle, die auf Apple M1- und M2-Chips basieren.
Die neue Extraktionsmethode kann Teile des Dateisystems extrahieren, darunter auch Sandboxes und Datenbestände von Drittanbieter-Anwendungen. Ausgeschlossen sind vor allem Sandboxes und Arbeitsdatensätze von Built-in und System-Apps sowie viele Systemdatenbanken.
Die Einschränkungen sind auf den Exploit zurückzuführen, den wir zur Entwicklung dieser Extraktionsmethode verwendet haben. Der Exploit nutzt eine Schwachstelle in der Verwaltung des virtuellen Speichers von iOS, um innerhalb der Sandbox erhöhte Rechte zu erlangen. Zum jetzigen Zeitpunkt ist der Exploit nicht in der Lage, die Sandbox vollständig zu umgehen, da einige Schutzmechanismen, die den Zugriff auf eine bestimmte Gruppe von Ordnern betreffen, direkt im Kernel implementiert sind. Wir werden die Schwachstelle, die wir in dieser Version genutzt haben, weiter erforschen, um die Menge der extrahierbaren Informationen zu erweitern.
Wir empfehlen diese neu hinzugefügte Methode der partiellen Dateisystem-Extraktion als Ergänzung zur erweiterten logischen Erfassung. Zusätzlich zu den Informationen, die durch den erweiterten logischen Prozess extrahiert werden, extrahiert die neue Low-Level-Extraktionsmethode Sandbox-Daten und Datensätze von Drittanbieter-Apps, die ihre Daten nicht in lokalen Backups zulassen. Dazu gehören viele Instant-Messaging-Anwendungen, Webbrowser und E-Mail-Clients von Drittanbietern sowie zahlreiche andere Anwendungen. Das lokale Backup hingegen liefert Informationen, die mit einer partiellen Dateisystemextraktion nicht gewonnen werden können. Dazu gehören Kalender, der Safari-Browserverlauf und - bei passwortgeschützten Backups - Passwörter und Authentifizierungsdaten, die im Schlüsselbund gespeichert sind.
Kompatibilität
Die Methode der partiellen Dateisystem-Extraktion unterstützt eine breite Palette von Hardware und iOS-Builds. Auf Apple A11-Geräten, zu denen das iPhone 8 bis iPhone X gehört, ist die partielle Dateisystemextraktion für iOS 15.4 bis 15.7.1 und 16.0 bis 16.1.2 verfügbar. Auf Apple A12 bis A16 Bionic-Geräten (die iPhone Xr/Xs bis iPhone 14-Reihe und einige iPads) unterstützt die neue Methode iOS 15.6 bis 15.7.1 und iOS 16.0 bis 16.1.2. iPad-Modelle basierend auf Apple M1 (iPadOS 15.6-16.1.2) und M2 (iPadOS 16.1-16.1.2).
Hinweis: iOS Forensic Toolkit unterstützt die vollständige Dateisystemextraktion auf A11-Geräten (bis iOS 15.3.1) und A12-A16-Geräten (bis iOS 15.5).
Die neue Extraktionsmethode ist in Elcomsoft iOS Forensic Toolkit 8.20 (nur Mac) und 7.80 (Mac- und Windows-Editionen) verfügbar. iOS Forensic Toolkit ist die einzige Lösung auf dem Markt, die Low-Level-Extraktion auf Apple-Geräten mit den neuesten Chips unterstützt.
Elcomsoft iOS Forensic Toolkit 7.80 und 8.20 Versionshinweise:
Extraktions-Agent: Teilweise Dateisystem-Extraktion für verschiedene iOS-Versionen hinzugefügt