"Mit jedem Update wird iOS sicherer", sagt Vladimir Katalov, CEO von ElcomSoft. "Während wir bei den älteren Versionen auf viele Daten Zugriff haben, wurden bei iOS 10 alle Schlupflöcher beseitigt. In der neuen Version kann iOS Forensic Toolkit jedoch die logische Erfassung von Geräten mit iOS 10.x durchführen und Informationen über das Gerät anzeigen. Um den Zugriff zu erleichtern, kann das Toolkit ab sofort automatisch nach Lockdown-Dateien auf einem gekoppelten Computer suchen."
Support für macOS Sierra
Elcomsoft iOS Forensic Toolkit verbessert die Live-Systemanalyse von Computern mit macOS Sierra, in dem es die automatische Extraktion von Lockdown-Datensätzen ermöglicht. Nach dem Auslesen können Lockdown-Dateien auf einen anderen Computer übertragen und dazu benutzt werden, dass iPhones und iPads (einschließlich Geräten mit iOS 10.x) eine lokale Sicherung auf dem Computer erstellen, ohne dass eine Codesperre oder ein Fingerabdruck zur Verfügung stehen müssen.
Bei Lockdown-Dateien oder Pairing Records handelt es sich um Dateien, die auf dem Computer gespeichert sind und in die das iOS-Gerät seine Inhalte synchronisiert. Diese Dateien werden beim ersten Verbinden des iOS-Geräts mit einem PC erstellt, auf dem iTunes installiert ist. Sie werden verwendet, um eine „Kopplungsbeziehung“ zwischen Computer und dem iOS-Gerät herzustellen, sodass der Benutzer das iPhone unkompliziert synchronisieren kann, indem er es einfach mit seinem Computer verbindet, ohne es jedes Mal manuell entriegeln zu müssen. Forensische Spezialisten verwenden solche Lockdown-Dateien regelmäßig, um auf vollständige Backups von Mobilgeräten zuzugreifen.
Elcomsoft iOS Forensic Toolkit kann automatisch ermitteln, ob für das angeschlossene iOS-Gerät ein Lockdown-Datensatz verfügbar ist. MacOS Sierra schützt jedoch den Zugriff auf den Speicherort, an dem diese Dateien gespeichert sind. Dies wirkt sich auf die Live-Systemanalyse aus. Um Zugriff auf die Lockdown-Dateien auf Live-Systemen mit macOS Sierra und neuer zu erhalten, müssen Benutzer den Zugriff auf /var/db/lockdown manuell aktivieren. EIFT 2.2 erkennt hierbei automatisch, wenn zusätzliche Berechtigungen erforderlich sind, und fordert den Benutzer auf, EIFT Zugriffsrechte zu erteilen.
Support für iOS 10
Durch das Update von Apples mobilem Betriebssystem iOS auf iOS 10, wurden alle Sicherheitslücken beseitigt. In iOS 10 hat Apple interne Änderungen an Backup-Mechanismen und Datenformaten vorgenommen. Als Ergebnis ist die physische Erfassung von iOS 10-Geräten derzeit nicht möglich. Der einzige Weg, Daten auszulesen, ist über die logische oder die Cloud-Extraktion möglich.
Durch das aktuelle Update ist EIFT ab sofort in der Lage, die Erstellung von lokalen Backups aus iPhones und iPads zu erzwingen. Obwohl diese Methode keinen Jailbreak erfordert (für iOS 10.2 bisher nicht verfügbar), muss das Mobilgerät entsperrt werden, um die Sicherung erstellen zu können. iOS Forensic Toolkit kann iOS-Geräte automatisch entsperren, auch wenn die Codesperre oder die gültige Touch-ID nicht bekannt sind, indem es Pairing-Datensätze aus einem vertrauenswürdigen Computer (Mac oder PC) verwendet. EIFT 2.2 ermittelt solche Pairing Records automatisch.
Passwortgeschützte iOS 10-Backups können weiterhin mit der neuesten Version von Elcomsoft Phone Breaker wiederhergestellt und entschlüsselt werden.
Preise und Verfügbarkeit
Elcomsoft iOS Forensic Toolkit 2.2 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 2.2 ist ab 1,495 EUR zuzüglich Mehrwertsteuer erhältlich. Das Update ist für alle bestehenden Kunden kostenfrei, die Elcomsoft iOS Forensic Toolkit innerhalb des letzten Jahres gekauft oder aktualisiert haben. Kunden, deren Support- und Wartungspaket abgelaufen ist, erhalten einen Rabatt auf das Update.
Kompatibilität
Support für die physische Erfassung von verschiedenen iOS-Geräten variiert abhängig vom Sperr- bzw. Jailbreak-Zustand und der installierten Version von iOS. Für einige Geräte, die bestimmte Versionen von iOS installiert haben, ist die logische Erfassung die einzig verfügbare Methode. Eine vollständige Liste aller Kompatibilitäten und weitere Informationen zu Elcomsoft iOS Forensic Toolkit können unter https://www.elcomsoft.com/eift.html eingesehen werden.