ElcomSoft mit forensisch fundierter checkm8-Daten-Extraktion aus iPhone 8, X, Apple Watch 3
Prag, 10. Februar 2022
ElcomSoft bringt ein Update des iOS Forensic Toolkit für den Mac auf den Markt. Die neue Version ermöglicht es, forensisch fundierte, wiederholbare und verifizierbare Dateisystem-Extraktionen von iPhone 8, 8 Plus, iPhone X und Apple Watch Series 3 Geräten durchzuführen.
Die Mac-Software liefert ab sofort eine forensisch fundierte Extraktion für die gesamte Palette der 64-Bit-iPhones, die die mit checkm8 ausnutzbare Bootloader-Schwachstelle aufweisen. Dazu gehören die iPhones 5s, 6, 6s, 7, 8, sowie die entsprechenden Plus-Versionen, das iPhone SE der ersten Generation sowie das iPhone X mit allen iOS-Versionen bis einschließlich des aktuellen iOS 15.3. Darüber hinaus ist die Bootloader-basierte, forensisch fundierte Extraktion jetzt auch für alle Apple Watch Series 3 Modelle mit jeder Version von watchOS verfügbar.
"Die neue Extraktionsmethode ist die bisher forensisch sauberste", erklärt Vladimir Katalov, President und CEO von ElcomSoft. "Die Implementierung des Bootloader-basierten Exploits von ElcomSoft stammt direkt aus dem Quellcode. Die gesamte Arbeit wird vollständig im RAM ausgeführt, und das auf dem Gerät installierte Betriebssystem bleibt unberührt und wird während des Bootvorgangs nicht verwendet."
Die Geräte iPhone 8, 8 Plus und X gehören zur letzten Generation der iPhones, die eine Hardware-basierte Sicherheitslücke im Bootloader aufweisen. Die Schwachstelle kann ausgenutzt werden, um einen Low-Level-Zugriff auf das Dateisystem des Geräts und gespeicherte Daten, einschließlich einer Kopie des Schlüsselbundes, zu erhalten.
Die Uhr am Tatort
Intelligente tragbare Geräte tauchen häufig an Tatorten auf. Die Apple Watch und die von ihr gesammelten Daten trugen bereits zur Aufklärung zahlreicher Fälle bei und halfen bei vielen strafrechtlichen Ermittlungen. Unter den zahlreichen Apple Watch-Modellen nimmt die Apple Watch Series 3 einen besonderen Platz ein. Dieses 2017 erschienene Modell ist immer noch neu erhältlich und besetzt die Nische des erschwinglichsten Wearables in Apples Portfolio. All das macht die Series 3 zu einem der am weitesten verbreiteten Apple Watch-Modelle. Das neueste Update des iOS Forensic Toolkit ermöglicht die Extraktion der Apple Watch 3 auf der untersten Ebene mithilfe des checkm8-Exploits.
Forensisch fundierte Extraktion
Mit dem Elcomsoft iOS Forensic Toolkit führt ElcomSoft eine forensisch fundierte Extraktionslösung ein und bietet verifizierbare und wiederholbare Ergebnisse bei nachfolgenden Extraktionen. Die neue Methode extrahiert sämtliche Daten des Geräts bis auf das letzte Bit, einschließlich App-Sandboxen und verschlüsselte App-Daten, geheime Chats, einige gelöschte Datensätze und eine Menge weiterer Dateien.
Wenn das iOS Forensic Toolkit auf einem unterstützten Gerät verwendet wird, stimmt die Prüfsumme des ersten extrahierten Images mit den Prüfsummen der nachfolgenden Extraktionen überein, vorausgesetzt, das Gerät wurde nie neu gestartet und zwischen den Extraktionen im ausgeschalteten Zustand aufbewahrt.
"Mit diesem Update wird das Elcomsoft iOS Forensic Toolkit zum fortschrittlichsten iOS-Erfassungstool auf dem Markt und zum einzigen wirklich forensisch fundierten Tool, das wiederholbare Ergebnisse nach späteren Extraktionen liefert", berichtet Katalov stolz. "Die Liste der unterstützten Geräte werden wir in den kommenden Versionen noch erweitern."
Über Elcomsoft iOS Forensic Toolkit
Das Elcomsoft iOS Forensic Toolkit bietet forensischen Zugriff auf verschlüsselte Informationen, die in gängigen Apple-Geräten mit iOS gespeichert sind, und bietet Dateisystem-Imaging und Schlüsselbund-Extraktion von den neuesten Generationen von iOS-Geräten. Durch die Durchführung einer Low-Level-Extraktion des Geräts bietet das Toolkit sofortigen Zugriff auf alle geschützten Informationen, einschließlich SMS- und E-Mail-Nachrichten, Anrufverlauf, Kontakte und Organizer-Daten, Web-Browsing-Verlauf, Voicemail- und E-Mail-Konten und -Einstellungen, gespeicherte Logins und Passwörter, Geolocation-Verlauf, das ursprüngliche Apple-ID-Passwort im Klartext, Unterhaltungen über verschiedene Instant-Messaging-Apps wie Skype oder Viber sowie alle anwendungsspezifischen Daten, die auf dem Gerät gespeichert sind.