Elcomsoft iOS Forensic Toolkit 7.03 ist ein kleineres Update mit mehreren Bugfixes und Verbesserungen, insbesondere zur Extraktion von 32-Bit-Legacy-Geräten.

In diesem Build haben wir die Extraktion von älteren (32-Bit) iOS-Geräten wie dem iPhone 5 und 5c erheblich verbessert. Am wichtigsten ist es, dass wir alle Probleme bei der physischen Erfassung des iPhone 5c gelöst haben. Dieses Modell verfügt über eine etwas andere Verschlüsselungs-Methode als die des iPhone 5. Darüber hinaus sind einige seltene Fälle aufgetreten, in denen der Schlüsselbund-Header eine nicht standardmäßige Versionsnummer aufweist, sodass iOS Forensic Toolkit den Schlüsselbund nicht entschlüsseln konnte. Auch das wird nun möglich gemacht.

Als nächstes haben wir die Jailbreak-Erkennung für ältere Modelle verbessert, was besonders für die Extraktion des iPhone 4s relevant ist. Da dem iPhone 4s noch eine funktionierende checkm8-Implementierung fehlt, beschränken sich die Extraktions-Möglichkeiten derzeit auf Jailbreaking mit anschließender Dateisystem- und Schlüsselbund-Extraktion.

Die agentenbasierte Erfassung für alle 64-Bit-Modelle (iPhone 5s bis iPhone 12 Pro Max, iOS 9.0 bis 14.3) wird dank verbesserter Agentensignierung/Sideloading flexibler. Wenn Sie ein Entwicklerkonto und einen macOS-Computer verwenden, können Sie jetzt beim Sideloaden des Extraktions-Agenten ein App-spezifisches Passwort verwenden. Durch die Verwendung eines App-spezifischen Passworts kann beim Sideloaden des Extraktionsagenten die Zwei-Faktor-Authentifizierung übersprungen werden, wodurch die automatische Verwendung dieses Passworts über die Konfigurationsdatei ermöglicht wird.

Schließlich wurde die Disk-Image-Entschlüsselungs-Engine für macOS von Grund auf überarbeitet. Die neue Multithread-Entschlüsselungs-Engine wird beim Entschlüsseln von HFS+-Partitionen, die aus älte-ren 32-Bit-iPhones extrahiert wurden, deutlich robuster, zuverlässiger und kompatibel. Darüber hinaus bietet die neue Engine unter bestimmten Bedingungen eine blitzschnelle Leistung beim Entschlüsseln von HFS+-Bildern (sowohl das verschlüsselte als auch das entschlüsselte Images werden auf derselben APFS-Partition gespeichert und das Image enthält viel leeren Speicherplatz oder unverschlüsselte Da-teien).

Versionshinweise:

• macOS, Entwickler-Apple-ID-Konten: Möglichkeit hinzugefügt, den Akquisitionsagenten mit einem App-spezifischen Passwort zu signieren
• Entschlüsselung von iPhone 5c-Bildern behoben
• Die Extraktion des iPhone 5/5c-Schlüsselbunds mit physischer/checkm8-Erfassung für einige spezifische Schlüsselbundversionen wurde behoben
• Schlüsselbund-Extraktion für ältere iPhone- und iPad-Modelle mit Jailbreak behoben (32-Bit-Modelle)
• Verbesserte Jailbreak-Erkennung
• Das Problem, dass extrahierte Daten in falschen Ordnern abgelegt wurden, wenn das Toolkit von der Konsole aus gestartet wurde, ist behoben worden
• Die Entschlüsselung von Partitionsabbildern (alte Geräte) ist jetzt auf APFS blitzschnell, nur wenige Sekunden