Elcomsoft iOS Forensic Toolkit 7.10 bietet die Möglichkeit, Dateisystem-Extraktionen auf niedriger Ebene für ausgewählte iPhone-Modelle mit den iOS-Versionen 14.4 bis 14.8 durchzuführen. Die Liste der unterstützten Geräte umfasst Modelle der Generationen A11, A12 und A13. Die Verwendung eines Apple-Entwicklerkontos ist unter Windows erforderlich, unter macOS ist dies optional, wird jedoch dringend empfohlen.

Elcomsoft iOS Forensic Toolkit 7.10 bietet Unterstützung für die Dateisystem-Extraktion auf niedriger Ebene für drei Generationen von Apple-Geräten, die auf den Plattformen A11, A12 und A13 Bionic basieren. Für diese Geräte deckt das aktualisierte Toolkit nun die gesamte Bandbreite der iOS-Versionen seit iOS 9.0 bis hin zu iOS 14.8 ohne Lücken oder Ausschlüsse ab. Alle 64-Bit-iPhone-Modelle, die auf den SoC-Generationen A11 bis A13 basieren, werden unterstützt, einschließlich des iPhone 8/8 Plus, iPhone X, Xr, Xs, Xs Max sowie der gesamten iPhone 11-Generation und des iPhone SE (zweite Generation).

Die Low-Level-Extraktion basiert auf dem Akquisitions-Agenten, der einen Low-Level-Zugriff auf die Daten des Telefons ermöglicht und das komplette Dateisystem-Image extrahiert. Die Schlüsselbund-Entschlüsselung ist für diese iOS-Versionen immer noch nicht verfügbar und befindet sich in der Entwicklungsphase.

Das Ergebnis dieses Updates ist die vollständige Unterstützung der Dateisystem-Extraktion auf niedriger Ebene für iPhone-Geräte ohne Jailbreak ab iOS 9 bis einschließlich iOS 14.8 auf unterstützten Geräten. Für A11-Geräte wird die vollständige Dateisystem-Extraktion und die Schlüsselbund-Entschlüsselung unterstützt. Für A12- und A13-Geräte ist die Schlüsselbund-Entschlüsselung nur für iOS-Versionen bis einschließlich iOS 14.4, 14.4.1 und 14.4.2 verfügbar.

All dies macht das Bild der unterstützten Plattformen ziemlich fragmentiert. Weitere Informationen zu den auf den verschiedenen Plattformen unterstützten Extraktionsarten finden Sie in der folgenden Tabelle:

Die agentenbasierte Extraktion bietet im Vergleich zu anderen Erfassungs-Methoden zahlreiche Vorteile. Der Agent nimmt keine Änderungen an den Benutzerdaten vor und bietet die forensische sicherste Extraktion unter den verfügbaren Erfassungs-Methoden.

Es wird dringend empfohlen, für die Installation des Agenten eine im Apple Developer Program registrierte Apple ID zu verwenden, da dadurch kein Öffnen des Internetzugangs auf dem Gerät erforderlich ist. Mehr dazu in Why Mobile Forensic Specialists Need a Developer Account with Apple. Mac-Benutzern steht eine optionale Methode zur Verfügung, die die Verwendung regulärer Apple-IDs zum Laden des Extraktionsagenten ermöglicht.

Versionshinweise:

• Agentenbasierte vollständige Dateisystemerfassung für iOS 14.4 – 14.8 (A11/A12/A13) wurde hinzugefügt
• Agentenbasierter Schlüsselbund-Erwerb für iOS 14.4 – 14.8 (A11) wurde hinzugefügt
• Agentenbasierter Schlüsselbund-Erwerb für iOS 14.4.x (A12/A13) wurde hinzugefügt
• Einige Probleme mit der Gerätekopplung wurden behoben
• Logische Datenerfassung für iOS 14.8 und 15 (einige Daten fehlten in Info.plist) wurde behoben
• Verbesserungen und Fehlerbehebungen bei der HFS+ Entschlüsselung (nur macOS-Version)
• Kleinere Fehlerbehebungen und Verbesserungen