Forensik-Tool liest über nicht patchbares Exploit Dateisystem von vielen iOS-Geräten aus

Elcomsoft iOS Forensic Toolkit nutzt checkra1n-Jailbreak


Moskau, 3. Dezember 2019

ElcomSoft aktualisiert das Elcomsoft iOS Forensic Toolkit (EIFT), ein mobiles, forensisches Tool zur Datenextraktion aus iPhones, iPads und iPod Touch-Geräten. Version 5.20 unterstützt nun die Extraktion von Dateisystemen für ausgewählte Apple-Geräte, auf denen alle Versionen von iOS 12 bis iOS 13.3 laufen. Dies ist unter Verwendung des vor Kurzem erschienenen, nicht patchbaren Bootrom-Exploits, das in den checkra1n-Jailbreak integriert ist, möglich. Diese Sicherheitslücke versetzt EIFT 5.20 in die Lage, das komplette Dateisystem-Image von iOS-Geräten zu extrahieren, ohne hierfür ein Passwort zu benötigen. Des Weiteren ist es möglich, Passwörter sowie Authentifizierungs-Daten zu entschlüsseln, die im iOS-Schlüsselbund gespeichert sind.

Bedeutung des checkra1n-Jailbreak

Ein Jailbreak ist erforderlich, um eine physische Erfassung durchzuführen. Für eine physische Erfassung muss das Gerät selbst dem Forensiker vorliegen. Bis dato waren Jailbreaks immer eingeschränkt kompatibel. Jailbreak-Releases hinkten immer den Apple-Releases hinterher und ermöglichten es, frühere Versionen von iOS (jedoch fast nie den aktuellen Build) per Jailbreak zu knacken. Der neue checkra1n-Jailbreak hingegen unterstützt eine breite Palette an iOS-Geräten und -Versionen, einschließlich vieler Versionen von iOS 13. Dies funktioniert sowohl auf AFU- (nach erstem Unlock) als auch auf BFU-Geräten (vor erstem Unlock). Es ist zudem der erste Jailbreak seit dem iPhone 4, der auf einem Gerät mit unbekanntem Passwort installiert und dann zum Extrahieren von Daten verwendet werden kann.

Im Gegensatz zu klassischen Jailbreaks wie Chimera oder unc0ver basiert der checkra1n-Jailbreak auf einer Schwachstelle im Bootroom von Apple-Geräten und nutzt eine Sicherheitslücke. Der checkra1n-Jailbreak ist unter Umständen sogar mit allen Versionen von iOS kompatibel, sofern sie auf unterstützter Hardware laufen. Weitaus wichtiger: Der Jailbreak bleibt auch mit kommenden iOS-Versionen kompatibel, da die Schwachstelle im Bootroom derzeit nicht von Apple behoben werden kann. Denn zum ersten Mal seit dem iPhone 4 haben Jailbreak-Entwickler eine hardwaregebundene, nicht zu behebende Schwachstelle in allen Apple-Geräten entdeckt, die mit einem Apple A7, A8, A9, A10 oder A11 SoC ausgestattet sind.

Vladimir Katalov, CEO von ElcomSoft, erklärt hierzu: "Immer wieder werden wir gefragt, weshalb wir auf Jailbreaks setzen. In vielen Fällen ist ein Jailbreak der einzige Weg, um an wichtige Informationen auf iOS- und tvOS-Geräten zu kommen. Die logische Erfassung spielt sich auf einem anderen, niedrigeren Level ab, und ist ein sicherer und einfacher Weg; sie funktioniert immer, und man hat bei einem Versuch nichts zu verlieren. Die logische Erfassung bietet jedoch meist die gleichen Daten, die man ohnehin über die iTunes-App erfassen kann. Es gibt so viel mehr Daten, die in einem iPhone gespeichert sind. Allerdings sollte man zuerst die logische Erfassung wählen, und erst dann zur Holzhammer-Methode, also zur Extraktion des Dateisystems, übergehen. Außerdem gibt es ja noch die iCloud, die man nutzen kann."

Weitere Neurungen in EIFT-Version 5.20

Elcomsoft iOS Forensic Toolkit 5.20 enthält umfangreiche Überarbeitungen, darunter die Verbesserung der Benutzerfreundlichkeit. In Version 5.20 spart man sich dadurch etwas Tipparbeit. iOS Forensic Toolkit 5.20 fügt nun bei Aufforderung automatisch das Standard-Root-Passwort 'alpine' auf Apple-Geräten mit Jailbreak ein. Wenn das Passwort geändert wurde, können Benutzer es weiterhin manuell eingeben.    

Versionshinweise

-
Dateisystem-Extraktion und Schlüsselbund-Entschlüsselung für ausgewählte Apple-Geräte, die vom Jailbreak "checkra1n" unterstützt werden (iPhone 5s bis iPhone X; iOS bis 13.2.3 Beta)
- UI-Verbesserung: Das Standard-Root-Passwort wird nun automatisch eingetragen, wenn Sie dazu aufgefordert werden.
- Fix: Einige Pairing-Probleme mit Lockdown-Datensätzen wurden behoben.

Der neue Jailbreak kann auf Geräten mit bekanntem oder unbekanntem Passwort zur Bildschirmsperre installiert werden; mehr dazu auf dem ElcomSoft-Blog (in Englisch):  https://blog.elcomsoft.com/2019/11/ios-device-acquisition-with-checkra1n-jailbreak/

Die unterstützten Geräte reichen vom iPhone 5s bis hin zum iPhone 8, 8 Plus und dem aktuellen iPhone X. Apple iPads, die auf den entsprechenden CPUs laufen, werden ebenfalls unterstützt, darunter Modelle vom iPad mini 2 bis hin zum iPad 2018, das iPad 10.2, das iPad Pro 12.9 (1. Generation) sowie das iPad Pro 10.5. Darüber hinaus unterstützt das iOS Forensic Toolkit 5.20 Apple TV HD (ATV4) und Apple TV 4K.

Preise und Verfügbarkeit

Elcomsoft iOS Forensic Toolkit 5.20 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 5.20 ist ab 1.495 EUR zuzüglich Mehrwertsteuer erhältlich. Bestehende Kunden erhalten das Update je nach Lizenzablauf kostenfrei oder mit Rabatt.

Weitere Informationen über Elcomsoft iOS Forensic Toolkit finden Sie unter www.elcomsoft.com/eift.html