Die vierte Betaversion von Elcomsoft iOS Forensic Toolkit 8.0 für Mac führt eine forensisch fundierte checkm8-Extraktion von iPhone 8-, 8 Plus- und iPhone X-Geräten mit iOS 11.0 bis 15.3 ein (Einschränkungen gelten für iOS 14- und 15-Extraktionen).

Elcomsoft iOS Forensic Toolkit 8.0 Beta 4 für Mac erweitert die Palette der unterstützten Geräte und fügt die neueste Reihe von Geräten hinzu, die vom checkm8-Exploit unterstützt werden. Die neue Beta bietet eine forensisch fundierte Extraktion von iPhone 8-, 8 Plus- und iPhone X-Geräten mit einem bekannten oder leeren Passcode für die Bildschirmsperre.

iPhone 8, 8 Plus und iPhone X stellen die letzte Generation von Geräten dar, die für den checkm8-Exploit anfällig sind. Durch die direkte Extraktion auf diesen Geräteplattformen deckt das Elcomsoft iOS Forensic Toolkit jetzt die gesamte Palette von 64-Bit-iPhones mit allen iOS-Versionen ab, , die auf diesen Geräten installiert werden können.

Obwohl alle iOS-Versionen vom ursprünglich installierten iOS 11.0 bis zum neuesten iOS 15.3 unterstützt werden, gelten aufgrund der in iOS 14 und 15 implementierten SEP- Abwehrmaßnahmen einige Einschränkungen für Geräte, auf denen eine iOS-Version ausgeführt wird, die in diesen Bereich fällt.

Für iOS 11.0 bis 13.7 sind die vollständige Dateisystem-Extraktion und Schlüsselbund-Entschlüsselung verfügbar, ohne dass der Passcode entfernt werden muss. Das iOS Forensic Toolkit kann die Daten ohne Änderungen am Gerät abrufen und hilft so, die Datenunveränderlichkeit (und damit die Beweiskette) aufrechtzuerhalten.

Wenn auf dem Gerät iOS 14 und 15 (bis einschließlich iOS 15.3) ausgeführt wird, müssen Experten den Passcode für die Bildschirmsperre entfernen, um den Exploit anzuwenden. Da das Entfernen des Passcodes das Booten des Geräts im ursprünglichen Betriebssystem erfordert, ist dieser Vorgang nicht forensisch einwandfrei. Sobald der Passcode entfernt wird, liefert das Tool wiederholbare und überprüfbare Extraktion des Dateisystems und die Entschlüsselung des Schlüsselbunds.

Um digitale Beweise zu sichern, beginnt die Aufbewahrungskette (d.h. dass forensisch gesehen keine Daten verändert werden sollen) ab dem ersten Zeitpunkt der Datenerhebung, um sicherzustellen, dass die während der Ermittlungen gesammelten digitalen Beweise vor Gericht zulässig bleiben. Mit Elcomsoft iOS Forensic Toolkit stellen wir eine forensisch fundierte Extraktionslösung vor, die überprüfbare und wiederholbare Ergebnisse bei nachfolgenden Extraktionen bietet. Bei Verwendung von iOS Forensic Toolkit auf einem unterstützten Gerät stimmt die Prüfsumme des ersten extrahierten Images mit den Prüfsummen nachfolgender Extraktionen überein, vorausgesetzt, das Gerät wird zwischen den Extraktionen ausgeschaltet und bootet in der Zwischenzeit nicht die installierte Version von iOS.

Die neue Extraktionsmethode ist die bisher sauberste. Unsere Implementierung des Bootloader-basierten Exploits ist direkt vom Quellcode abgeleitet. Alle Arbeiten werden vollständig im RAM ausgeführt, und das auf dem Gerät installierte Betriebssystem bleibt unberührt und wird während des Bootvorgangs nicht verwendet.

Mit diesem Update erweitert Elcomsoft iOS Forensic Toolkit die Liste der unterstützten Geräte und iOS-Versionen und wird zum fortschrittlichsten iOS-Erfassungstool auf dem Markt. Es ist das einzige wirklich forensisch fundierte Werkzeug, das nach nachfolgenden Extraktionen wiederholbare Ergebnisse liefert.

Versionshinweise

• Volle Unterstützung für iPhone 8, 8 Plus und iPhone X, iOS 11/12/13 wurde hinzugefügt
• Begrenzte Unterstützung für iPhone 8, 8 Plus und iPhone X, iOS 14–15 (bis 15.3) wurde hinzugefügt
• checkm8-Exploit Fixes und Stabilitätsverbesserungen