Forensische Cloud-Extraction
Cloud-Dienste haben sich zu einer äußerst effektiven, manchmal sogar wichtigsten Quelle für kritische Informationen entwickelt. Das Abrufen von Backups aus der Cloud ist oft die einzige Möglichkeit, auf wichtige Beweismittel zuzugreifen, wenn das Gerät eines Verdächtigen fehlt oder gesperrt wurde und keine Möglichkeit besteht, die Hardware zu entsperren. Ein Apple-Konto fungiert als zentraler Hub, der Daten von allen Geräten – einschließlich iPhones, iPads und Macs – aggregiert, die mit dieser einen Identität verknüpft sind.
Mit Elcomsoft Phone Breaker kann man den Großteil der in der Cloud gespeicherten Daten herunterladen. Dies umfasst hochrelevante und in Echtzeit synchronisierte Daten sowie Dateien aus iCloud Drive, die oft Dokumente enthalten, die direkt vom Mac des Benutzers synchronisiert wurden. Der Zugriff auf die Geräte-Backups kann auch eine solide Grundlage für die Erfassung des digitalen Fußabdrucks des Benutzers in seinem gesamten Ökosystem bieten.
Arbeiten mit Offline-Backups
Die verschlüsselten Offline-Backups enthalten naturgemäß mehr sensible Daten als ihre unverschlüsselten Pendants, weshalb sie zu einem wichtigen Ziel werden. Elcomsoft Phone Breaker knackt passwortgeschützte Backups effizient durch intelligente, GPU-beschleunigte Wörterbuchangriffe, die auf die Wiederverwendung von Passwörtern und den menschlichen Faktor abzielen. Wenn das Passwort bekannt ist, kann das Tool die Sicherung entschlüsseln. Darüber hinaus kann es optional das ursprüngliche binäre Sicherungsformat in eine handhabbare, dateisystemähnliche Struktur konvertieren, sodass Sie die Daten manuell untersuchen können. Der integrierte Keychain Explorer ermöglicht eine schnelle und bequeme Anzeige der aus dem lokalen Backup extrahierten Passwörter in einem übersichtlichen und lesbaren Format.
Extrahieren synchronisierter Daten
Apple-Geräte übertragen synchronisierte Daten permanent in Echtzeit in die Cloud und machen diese so zu einer stets aktuellen Informationsquelle. Man kann Kontakte, Kalender, Notizen, die Kamerarolle und mehr extrahieren. Das Tool kann häufig Datensätze wiederherstellen, die der Benutzer für endgültig gelöscht hält. Dazu gehören beispielsweise Notizen und Medien (Fotos und Videos), die in den letzten 30 Tagen aus dem Ordner „Zuletzt gelöscht“ entfernt wurden.
Wichtig ist, dass Cloud-Daten von forensischen Experten abgerufen werden können, ohne dass sie das ursprüngliche iOS-Gerät in den Händen halten. Alles, was benötigt wird, um auf Online-Daten in den Cloud-Diensten zuzugreifen, sind die Anmeldeinformationen des Benutzers einschließlich des zweiten Faktors einer Zwei-Faktor-Authentifizierung.
Aktuell unterstützte Datentypen sind:
| Datentyp | Beschreibung |
|---|---|
| Kontoinformationen | FileVault-Wiederherstellungstoken (zum Entschlüsseln von Mac-Festplatten) und eine vollständige Liste aller angeschlossenen Geräte. |
| Apple Maps | Gespeicherte Favoriten (Hinweis: Andere Map-Daten sind aufgrund der Ende-zu-Ende-Verschlüsselung derzeit nicht verfügbar). |
| Kalender | Benutzertermine und geplante Besprechungen. |
| Kontakte | Standardeinträge im Adressbuch. |
| iBooks | Gespeicherte Literatur und Dokumente, häufig auch PDF-Tickets. |
| Notizen | Ordner und Anhänge, oft einschließlich Elementen, die manuell gelöscht oder nach Ablauf der 30-tägigen Frist für „Zuletzt gelöschte“ endgültig entfernt wurden. |
| Fotos | Cloud-Foto- und Videoalben mit EXIF-Metadaten (Ort, Zeit), die möglicherweise auch kürzlich oder endgültig gelöschte Medien enthalten. |
| Bildschirmzeit | Gerätespezifische Listen der installierten Apps, App-Nutzungsbeschränkungen und Details zu „Familienfreigabe“-Mitgliedern (Namen und E-Mail-Adressen). |
| Sprachmemos | Gespeicherte Audioaufnahmen. |
| Wallet | Bordkarten, Treueprogramme und Rabattkarten. |
| Webdaten | Lesezeichen, Leseliste und aktuell geöffnete Tabs geräteübergreifend (Hinweis: Der Browserverlauf ist aufgrund der Ende-zu-Ende-Verschlüsselung nicht verfügbar). |
Herunterladen von Cloud-Backups
Cloud-Backups bergen einen immensen historischen Wert. Sie enthalten oft ältere Gerätezustände und Daten von Drittanbieter-Apps, die nirgendwo anders synchronisiert wurden. iCloud-Backups werden täglich automatisch erstellt, wenn Benutzer ihre Geräte aufladen, während sie mit einem WLAN-Netzwerk verbunden sind. Cloud-Backups können eine große Menge an Beweismaterial enthalten, darunter auch Daten von Drittanbieter-Apps.
Apple bietet keinen anderen offiziellen Mechanismus zum Herunterladen von iCloud-Backups als die Wiederherstellung auf einem neuen Gerät. Cloud-Backups können daher nur mit einem Drittanbieter-Tool wie dem Elcomsoft Phone Breaker vom Apple-Konto des Benutzers heruntergeladen und extrahiert werden.
Das erstmalige Herunterladen eines großen Backups kann möglicherweise Stunden dauern. Nachfolgende Aktualisierungen sind inkrementell und erfolgen sehr viel schneller. Wenn der Zeitfaktor entscheidend ist, bietet Elcomsoft Phone Breaker die Möglichkeit, nur bestimmte Daten zu erfassen und jene Daten zu überspringen, deren Download am längsten dauert (z. B. Musik und Videos). Informationen wie Nachrichten, Anhänge, Telefoneinstellungen, Anrufprotokolle, Adressbücher, Notizen, Kalender, E-Mail-Kontoeinstellungen, Memos und viele andere Datentypen können vorab ausgewählt und in nur wenigen Minuten heruntergeladen werden, wodurch Ermittler sehr schnell erste wichtige Informationen erhalten.
Extrahieren von iCloud Drive-Dateien
Das Tool ermöglicht das Herunterladen von iCloud-Drive-Dateien, die von großem Wert sein können. Dazu gehören vom Benutzer erstellte Dokumente, Tabellenkalkulationen und Dateien, die direkt vom Desktop, den Downloads, dem Papierkorb und den Dokumentenordnern eines angeschlossenen Macs synchronisiert werden. Es greift auch auf versteckte Daten von Drittanbieteranwendungen zu, wie beispielsweise verschlüsselte WhatsApp-Backups.
Ende-zu-Ende verschlüsselte Daten
Apple schützt bestimmte hochsensible Kategorien mit Ende-zu-Ende-Verschlüsselung. Dies umfasst den iCloud-Schlüsselbund, Gesundheitsdaten, Bildschirmzeit-Passcodes, Maps-Daten und Nachrichten in iCloud.
Aktuelle Einschränkung: Die Extraktion dieser Ende-zu-Ende-verschlüsselten Kategorien ist aufgrund kürzlich von Apple vorgenommener Infrastrukturänderungen vorübergehend nicht möglich. Dies ist ein bekanntes Problem, und wir arbeiten derzeit an den erforderlichen Aktualisierungen, um diese Funktionalität wiederherzustellen.
