Drucken


iOS Forensic Toolkit von ElcomSoft extrahiert iOS-Schlüsselbund von gesperrten und deaktivierten iPhones


Moskau, 7. Januar 2020

ElcomSoft hat ein wichtiges Update für das iOS Forensic Toolkit (EIFT) veröffentlicht. EIFT ist ein forensisches Tool, mit dem Strafverfolgungs-Behörden und Forensiker Daten aus einer Reihe von mobilen Apple-Geräten auslesen können. Mit der neuen Version 5.21 kann nun der iOS-Schlüsselbund teilweise von ausgewählten Apple-Geräten, auf denen die Versionen iOS 12 bis iOS 12.3 laufen, extrahiert werden. Dies ist auch auf deaktivierten und gesperrten iPhones möglich, die sich im BFU (Before First Unlock)-Zustand befinden, selbst wenn das Passwort für die Bildschirmsperre nicht vorliegt. Zu den weiteren Verbesserungen in Version 5.21 zählt eine verbesserte Datei-Namensgebung, wodurch sich TAR-Dateien leichter archivieren lassen.

Die BFU-Schlüsselbund-Extraktion ist auf ausgewählten Apple-Geräten verfügbar und erfordert die Installation des Anfang Dezember 2019 veröffentlichten 'checkra1n'-Jailbreak. Die unterstützten Geräte reichen vom iPhone 5s und iPhone X über die iPad-Modelle iPad mini 2 und iPad Pro 10.5 bis hin zum neuesten iPad (2018).

EIFT 5.21 liest Schlüsselbund-Daten von iPhones im BFU-Modus aus

Zum ersten Mal ermöglicht das Elcomsoft iOS Forensic Toolkit (EIFT) Forensikern und Ermittlern, den iOS-Schlüsselbund von BFU-Geräten auszulesen. Dies gilt sowohl für deaktivierte als auch für gesperrte Geräte mit unbekanntem Passwort zur Bildschirmsperre ('Screen Lock-Passcode').

Im Vergleich zur Daten-Extraktion auf nicht gesperrten Apple-Geräten, ist der neue BFU-Extraktions-Modus nur in der Lage, eine begrenzte Anzahl von iOS-Schlüsselbund-Elementen auszulesen. Insbesondere können damit Datensätze extrahiert werden, in denen sich Authentifizierungs-Informationen für einige E-Mail-Konten sowie weitere Authentifizierungs-Token befinden.

Für den Zugriff auf den iOS-Schlüsselbund im BFU-Modus ist die Installation des 'checkr1n'-Jailbreak erforderlich. Der im Jailbreak enthaltene Exploit nutzt eine Sicherheitslücke im Apple-Bootrom aus, und ist daher hardwareunabhängig auf allen kompatiblen Geräten verfügbar. Der Jailbreak wird über den DFU (Device Firmware Update)-Modus installiert und steht unabhängig vom Sperrstatus (BFU/AFU-Status) zur Verfügung.

Verbesserte Namensgebungen bei TAR-Dateien

In Version 5.21 ändert sich die Namensgebungen für Dateisystem-Image- und Keychain-TAR-Dateien. Da die Dateien in EIFT bisher 'user.tar' und 'keychaindump.tar' genannt wurden, waren diese Namen mehrdeutig und wurden bei späteren Geräte-Erfassungen zu leicht überschrieben. In dieser Version hat Elcomsoft die Namensgebung geändert und beiden Dateien eindeutige Namen gegeben. Die Dateisystem-Images heißen jetzt 'UDID_timestamp.tar', während die Keychain-Dumps 'keychain_UDID_timestamp.xml' heißen. Die eindeutige Geräte-ID und der Zeitstempel machen extrahierte Dateisystem-Images und Keychain-Dumps leichter archivierbar.

Unterstützte Geräte

Die Liste der unterstützten Geräte umfasst Modelle, die auf Apples A7 bis A11 System-on-a-Chip (Soc) basieren. Dazu gehören das iPhone 5s, 6, 6s, SE, 7 und 8 sowie die Plus-Versionen und das iPhone X. Unterstützt werden ebenfalls Apple iPad-Geräte, die auf den entsprechenden CPUs laufen, darunter Modelle vom iPad mini 2 bis zum iPad 2018, iPad 10.2, iPad Pro 12.9 (erste Generation) und iPad Pro 10.5.

Bedeutung des BFU-Modus

BFU-Geräte sind Smartphones, die ausgeschaltet oder neu gestartet wurden und nie nachträglich entsperrt wurden, auch nicht einmal durch Eingabe des korrekten Passworts zur Aufhebung der Bildschirmsperre.

Bei Apple-Geräten bleibt der auf einem iPhone gespeicherte Inhalt solange sicher verschlüsselt, bis der Benutzer das Passwort zur Deaktivierung der Bildschirmsperre eingibt. Dieser wird von Secure Enclave benötigt, um einen Schlüssel zu erzeugen, der wiederum zur Entschlüsselung des iPhone-Dateisystems verwendet wird.

Auf diese Sicherheitsebene zielen die Mechanismen des Elcomsoft iOS Forensic Toolkit ab. Elcomsoft hat Teile von Daten entdeckt, die in iOS-Geräten bereits vor der ersten Freischaltung verfügbar sind. Dazu zählen insbesondere einige iOS-Schlüsselbund-Elemente inklusive Authentifizierungs-Daten für E-Mail-Accounts sowie eine Reihe von Authentifizierungs-Token, die vor der ersten Freischaltung verfügbar sind (damit das iPhone korrekt gestartet werden kann, bevor ein Nutzer zum ersten Mal ein Passwort eingibt).

Preise und Verfügbarkeit

Elcomsoft iOS Forensic Toolkit 5.21 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 5.21 ist ab 1.495 EUR zuzüglich Mehrwertsteuer erhältlich. Bestehende Kunden erhalten das Update je nach Lizenz kostenfrei oder mit Rabatt.

Weitere Informationen zu Elcomsoft iOS Forensic Toolkit unter www.elcomsoft.de/eift.html