Die fünfte Beta des Elcomsoft iOS Forensic Toolkit 8.0 für Mac bringt eine forensisch fundierte, checkm8-basierte Extraktion der Apple Watch Series 3. Die Low-Level-Extraktion hilft beim Zugriff auf wichtige Beweise, die auf der Uhr gespeichert sind, ohne die Daten zu verändern.

Elcomsoft iOS Forensic Toolkit 8.0 Beta 5 für Mac erweitert die Palette der unterstützten Geräte und ermöglicht Low-Level-Extraktion für die Apple Watch Series 3. Der einzigartige, forensisch einwandfreie Extraktionsprozess nutzt den checkm8-Exploit und ermöglicht die Bootloader-basierte Extraktion von AW3-Geräten über handelsübliche Adapter, unabhängig von der installierten Version von WatchOS.

Die Apple Watch kann zu einer entscheidenden Beweisquelle werden, insbesondere wenn die Watch das einzige persönliche digitale Gerät ist, das am Tatort gesammelt wurde. Elcomsoft leistete Pionierarbeit bei der logischen Extraktion von Apple Watch-Geräten über handelsübliche USB-Adapter. Obwohl die logische Erfassung von Apple Watch-Geräten die einfachste und kompatibelste Extraktions-Methode ist, gibt sie einen sehr begrenzten Satz von Daten zurück, darunter Mediendateien und begleitende Metadaten, die Liste der installierten Apps und Diagnoseprotokolle.

Die Low-Level-Extraktion ermöglicht den Zugriff auf ein viel breiteres Spektrum an Beweisen im Vergleich zur logischen Erfassung, einschließlich des detaillierten Gesundheits- und Aktivitätsverlaufs, Low-Level-Standortprotokolle sowie der im Watch-Schlüsselbund gespeicherten Passwörter des Benutzers. Zusätzliche Informationen, die über Low-Level-Extraktion verfügbar sind, umfassen Kontakte und Nachrichten (SMS/iMessage), Anrufprotokolle, Wallet-Elemente sowie viele Systemereignisse wie App-Aktivitäten, Netzwerk- und Bluetooth-Nutzung, Entsperrungs-Ereignisse und vieles mehr.

Die neue Extraktionsmethode ist die bisher sauberste. Unsere Implementierung des Bootloader-basierten Exploits ist direkt vom Quellcode abgeleitet. Alle Arbeiten werden vollständig im RAM ausgeführt, und das auf dem Gerät installierte Betriebssystem bleibt unberührt und wird während des Bootvorgangs nicht verwendet.

Darüber hinaus erhielt der Low-Level-Extraktionsagent für iPhone- und iPad-Geräte Unterstützung für iOS 15.0 und 15.0.1 auf den Geräte-Generationen A11–A13 (iPhone 8/X bis iPhone 11).

Mit diesem Update erweitert Elcomsoft iOS Forensic Toolkit die Liste der unterstützten Geräte und iOS-Versionen und wird zum fortschrittlichsten iOS-Erfassungstool auf dem Markt. Es ist das einzige wirklich forensisch fundierte Werkzeug, das nach nachfolgenden Extraktionen wiederholbare Ergebnisse liefert.

Versionshinweise

• Volle Unterstützung für Apple Watch Series 3 wurde hinzugefügt
• Extraktions-Agent: Unterstützung für iOS 15.0 und 15.0.1 für Geräte-Generationen A11–A13 wurde hinzugefügt
• checkm8-Exploit Fixes und Stabilitätsverbesserungen