Das Elcomsoft iOS Forensic Toolkit (EIFT) ermöglicht in der aktuellen Version 5.40 eine forensisch fundierte Extraktion von Apple-Geräte-Daten. Dies gilt für mobile Endgeräte, auf denen die iOS-Versionen 11 bis 13.3 laufen. Mit der agentenbasierten Erfassungs-Funktion können Forensiker das Dateisystem vollständig extrahieren und den iOS-Schlüsselbund entschlüsseln – und zwar ohne das Gerät hierfür zu jailbreaken und Spuren auf dem Gerät zu hinterlassen.

In Elcomsoft iOS Forensic Toolkit 5.40 hat ElcomSoft die Palette der kompatiblen iOS-Geräte, die vom neuen Akquisitions-Agenten unterstützt werden, erweitert. Die neueste EIFT-Version schließt die Lücke zwischen zukünftigen und bisher nicht unterstützten iOS-Versionen. Es deckt nun die gesamte Palette der iOS-Versionen (von iOS 11 bis iOS 13.3) für Modelle vom iPhone 6s bis hin zur iPhone 11-Reihe ab. Das iPhone 5s und das iPhone 6 werden auch bei der Ausführung von iOS 11, 12-12.2 und 12.4 unterstützt.

Der Akquisitions-Agent kann ab sofort Daten von bisher nicht unterstützten Geräten extrahieren und unterstützt nun vollständig iOS 13.0 bis 13.3. Alle 64-Bit-Geräte werden unterstützt, einschließlich der letztjährigen Modelle iPhone Xr, Xs und Xs Max sowie der neuesten Modelle des iPhone 11, iPhone 11 Pro und iPhone 11 Pro Max. Die entsprechenden iPad-Modelle mit iOS 11, 12 sowie das iPad OS 13 bis 13.3 werden ebenfalls unterstützt.

Bei der neuen Extraktionsmethode wird auf einen Agenten zurück gegriffen. Diese agentenbasierte Extraktion stellt eine neue, forensisch fundierte Alternative zu traditionelleren Erfassungsmethoden dar, bei denen zum Beispiel ein Jailbreak zwingend erforderlich ist. Aufgrund der Tatsache, dass der Agent direkt auf das Dateisystem zugreift, erfordert diese neue Methode keinen Jailbreak. Mit der agentenbasierten Extraktion kann das gesamte Dateisystem abgebildet und der Schlüsselbund entschlüsselt werden. Das Risiko, Spuren auf dem Gerät zu hinterlassen, wird so minimiert. Denn für einen Dritten ist es oft offensichtlich, wenn ein Jailbreak installiert wurde.

Die neue Erfassungsmethode nutzt einen internen Extraktionsagenten, den ElcomSoft für die iOS-Plattform entwickelt hat. Sobald der Agent auf dem iOS-Gerät installiert ist, kommuniziert er mit dem Computer des Experten. Im Vergleich zur Extraktion mittels Jailbreak werden dadurch wesentlich höhere Extraktions-Geschwindigkeiten und eine größere Zuverlässigkeit erreicht. Der Agent zur direkten Erfassung ist sicher in der Anwendung, da er weder die Systempartition verändert noch das Dateisystem neu mountet. Für die Installation des Agenten ist die Verwendung einer Apple-ID erforderlich, die über das Apple-Entwicklerprogramm beziehbar ist. Mehr dazu in unserem (englischsprachigen) Blog-Artikel 'Why Mobile Forensic Specialists Need a Developer Account with Apple.'

Versionshinweise:

• Das Extrahieren von Dateisystemen und die Entschlüsselung von Schlüsselbunden ohne Jailbreak ist jetzt für die folgenden iOS-Versionen möglich:
  • iPhone 6s bis iPhone 11: iOS 11 und 12 und iOS 13.0 bis 13.3
  • iPhone 5s und iPhone 6: iOS 11, 12-12.2 und 12.4
• Der neue Agent für die Direktextraktion bietet eine forensisch einwandfreie Leistung ohne hierfür auf einen Jailbreak setzen zu müssen. Dies gilt ausnahmslos für alle Apple-Geräte mit iOS 11 bis 13.3.