iOS Forensic Toolkit 6.30: Jailbreak-freier iOS 9-Support, Extraktion von Benutzerdaten

Elcomsoft iOS Forensic Toolkit 6.30 weitet die Funktion aus, mit denen eine Extraktion ohne Jailbreak möglich ist. Ein "jailbreakfreies" Extrahieren bis hin zu iOS 9 wird jetzt auf allen 64-Bit-Geräten unterstützt, auf denen alle Builds von iOS 9 ausgeführt werden. Darüber hinaus ist die neue Version nun in der Lage, Benutzerdaten zu extrahieren, wodurch der Erfassungsprozess beschleunigt wird, indem Systemdateien übersprungen werden.

In Elcomsoft iOS Forensic Toolkit 6.30 wurde die Palette an Funktionen zum Jailbreak-freien Extrahieren erweitert. Die neueste Version bietet eine größere Auswahl an unterstützten iOS-Versionen. Zudem biet es die Möglichkeit, 64-Bit-Apple-Geräte, auf denen alle Versionen von iOS 9 ausgeführt werden, ohne Jailbreak zu verarbeiten. Das agentenbasierte Extrahieren unterstützt ab sofort vollständig Entschlüsselung von Apple-Schlüsselbünden. Ferner können nun Dateisystemen auch ohne Jailbreak extrahiert werden. Dies gilt für Systeme ab iOS 9.0, die auf einem unterstützten 64-Bit-Gerät ausgeführt werden.

Ursprünglich mit dem iPhone 6s veröffentlicht, wird iOS 9 mittlerweile von relativ vielen Apple-Geräten unterstützt. Inzwischen ist iOS 9.0 bis 9.3.5 für die Modelle iPhone 5s, iPhone 6 und 6 Plus, iPhone 6s und 6s Plus verfügbar. Das ursprüngliche 4-Zoll-iPhone SE wurde mit installiertem iOS 9.3 veröffentlicht. Die entsprechenden iPad-Versionen werden ebenfalls unterstützt, darunter iPad Air, iPad Air 2, iPad Mini 2 bis 4 sowie das iPad Pro der ersten Generation. Während in der Öffentlichkeit kaum ein iOS 9-Gerät anzutreffen ist, haben es Forensik-Labore immer noch mit Geräten zu tun, auf denen ältere Versionen des Betriebssystems ausgeführt werden.

Für einige dieser Geräte gab es bereits die Möglichkeit, eine Extraktion auch ohne Jailbreak auszuführen. Jailbreaks für iOS 9 sind jedoch schwierig und unsicher zu installieren. Darüber hinaus sind sie ausschließlich für iOS 9.0 bis 9.3.3 verfügbar, sodass die beiden neuesten Builds (iOS 9.3.4 und 9.3.5) nicht unterstützt werden.

Für die Installation des Agenten muss eine Apple-ID verwendet werden, die im Apple Developer Program registriert ist. Mehr dazu in unserem Blog-Artikel Why Mobile Forensic Specialists Need a Developer Account with Apple.

Mit diesem Update steht dem Anwender eine neue Optionen zur Datenerfassung zur Verfügung: das Extrahieren von Benutzerdaten aus dem Dateisystem. Diese neue Erfassungsoption unterstützt Experten und hilft ihnen, Zeit und Speicherplatz zu sparen, indem nur der Inhalt der Datenpartition abgerufen wird, während die Systempartition übergangen wird. Die Daten in der Systempartition enthalten schreibgeschützte ausführbare Dateien, Systembibliotheken und andere Daten, die für die Ausführung des Betriebssystems erforderlich sind. Sofern kein Jailbreak vorliegt, variiert der Inhalt der Systempartition nicht zwischen Geräten desselben Modells, auf denen dieselbe iOS-Version ausgeführt wird, und ist für die Untersuchung im Vergleich zu Benutzerdaten weitaus weniger relevant. Bei iPhones mit kleiner Kapazität macht die neue Option das Extrahieren um den Faktor zwei bis drei mal schneller im Vergleich zur vollständigen Geräte-Extraktion. Geräte mit höherer Kapazität bieten vergleichsweise weniger Zeitersparnis, die Analyse des Benutzer-Dateisystems gestaltet sich jedoch noch einfacher.

Versionshinweise:

  • Eine Jailbreak-freie Dateisystem- und Schlüsselbund-Erfassung mit Extraktionsagent für iOS 9 wurde hinzugefügt
  • Die Möglichkeit, nur Benutzerdaten zu extrahieren (Systemdateien überspringen), wurde hinzugefügt

Siehe auch