Elcomsoft Phone Breaker 11.1 behebt die in der Version 11 festgestellten Probleme beim Herunterladen von Backups und ermöglicht eine vollständige und zuverlässige Extraktion von iCloud-Backups. Das Update schließt die in EPB 11.0 begonnene Überarbeitung der Cloud-Extraktion ab und bietet Ermittlern und Strafverfolgungsbehörden sicheren und zuverlässigen Zugriff auf eine der wertvollsten Quellen für Cloud-Beweismittel.

Nachdem Apple mit weitreichenden Änderungen an Authentifizierung und Verschlüsselung die bisherigen Methoden weitgehend blockiert hatte, wurde nun in EPB 11 die iCloud-Extraktion komplett neu programmiert. Mit diesem Release wird das Herunterladen der iCloud Drive-Dateien und der synchronisierten Daten wieder ermöglicht. Allerdings muss man anmerken, dass immer noch zeitweise noch ungelöste Probleme auftreten, die die Datensicherung teilweise unterbrechen können.

Backups, die zuvor hängen blieben, werden jetzt vollständig heruntergeladen. Es wird ein komplettes Backup erstellt, mit dem Sie bequem arbeiten können. Voraussetzung ist ein Backup von Geräten mit iOS oder iPadOS 18 und älter. Von iOS oder iPadOS 26 erstellte Cloud-Backups werden derzeit noch nicht unterstützt. Die Unterstützung dafür ist aber in Arbeit und wird in zukünftigen Releases verfügbar sein.

Verbesserung der Backup-Extraktion

Das Abrufen von Backups aus der Cloud ist oft die einzige Möglichkeit, auf wichtige Beweismittel zuzugreifen, wenn das Gerät eines Verdächtigen fehlt oder gesperrt wurde und keine Möglichkeit besteht, die Hardware zu entsperren. Gleichzeitig handelt es sich dabei aber auch um eine der technisch anspruchsvollsten Operationen im Bereich der Cloud-Forensik. Denn iCloud-Backups werden nicht als einzelne, downloadbare Dateien gespeichert. Sie bestehen aus einer großen Anzahl einzelner Fragmente, die vom Tool eingesammelt und zu einem zusammenhängenden Backup rekonstruiert werden müssen.

Die jüngsten Änderungen an Apples Kommunikationsprotokollen und am Format bestimmter Serverantworten erforderten eine umfassende Überarbeitung der zugrunde liegenden Extraktionslogik. Die erste Implementierung in Version 11.0 hatte Anlaufschwierigkeiten, während Version 11.1 alle Probleme behoben haben dürfte. Die unterstützten Backups, die zuvor nach den ersten paar Gigabytes abgebrochen wurden, werden jetzt wieder vollständig heruntergeladen.

Die Unterstützung für das Herunterladen von iCloud Drive-Dateien und das Extrahieren synchronisierter Daten (Bilder, Videos, Kalender und andere Kategorien) bleibt unverändert. Ende-zu-Ende-verschlüsselte Kategorien wie iCloud-Schlüsselbund, Gesundheitsdaten und Nachrichten sind bisher weiterhin nicht zugänglich, und Authentifizierungstoken können nicht mehr verwendet werden, um Daten aus iCloud herunterzuladen, einschließlich Backups. Die aktuelle Apple-Infrastruktur erfordert eine vollständige Kontoauthentifizierung.

Die Extraktion von Cloud-Backups seit 2012

Elcomsoft blickt zurück auf eine lange Geschichte im Umgang mit Datenextraktion aus der Cloud. Elcomsoft Phone Breaker war die erste Software ihrer Art, die iOS-Geräte-Backups direkt aus der iCloud herunterladen konnte – eine Funktion, die bereits 2012 eingeführt wurde. Wir haben es seitdem kontinuierlich gepflegt und weiterentwickelt, trotz aller größeren Veränderungen in Apples Cloud-Infrastruktur. Es finden sich unterschiedliche Behauptungen darüber, wer als Erster eine cloudbasierte Beweiserfassung eingeführt hat. Als Orientierung zur Verifikation solcher Aussagen kann aber der Umstand dienen, dass es vor 2012 keine Software zur Extraktion von iCloud-Backups auf dem Markt gegeben haben kann.

Verfügbarkeit

Das Update ist für alle Kunden kostenlos, die innerhalb eines Jahres eine Lizenz für Elcomsoft Phone Breaker oder Elcomsoft Mobile Forensic Bundle erworben oder verlängert haben. Eine vergünstigte Verlängerung ist für Kunden verfügbar, deren kostenloser Aktualisierungszeitraum bereits abgelaufen ist.