ElcomSoft-Tool liest Screen Time-Passwörter aus und ermöglicht umfassende forensische Analyse auf iOS-Geräten

Der Spezialist für Passwort- und Daten-Wiederherstellung aktualisiert Elcomsoft Phone Breaker (EPB), ein Tool zur Extraktion forensisch relevanter Daten aus Offline- und Online-Backups von Apple-, BlackBerry- und Windows Phone-Geräten. Mit Version 9.20 ist es erstmals möglich, Screen Time-Passwörter aus der iCloud zu extrahieren, wodurch Forensiker überhaupt erst eine logische oder physische Erfassung eines Gerätes vollumfänglich durchführen können. Ferner lädt das Tool nun Sprachmemos aus der iCloud herunter. Für Polizei und Behörden erweitert sich damit die lange Liste bisher unterstützter Dateitypen wie Anrufprotokolle, Fotobibliotheken und iCloud-Kennwörter um weitere, forensisch relevante Datenkategorien.

Bedeutung von Screen Time für die logische Erfassung

Das Screen Time-Passwort ist ein optionaler Sicherheitsmechanismus, der ab iOS 12 eingeführt wurde, und mit dem Nutzer auf iPhones und iPads Einschränkungen hinsichtlich Inhalten und Privatsphäre vornehmen können. Oftmals stellen Screen Time-Passwörter für Forensiker das letzte fehlende Puzzle-Teil dar, um mit dem logischen Erfassungsprozess zu beginnen. Denn selbst wenn auf Geräten keine spezifischen Einschränkungen konfiguriert sind, schützt das aktivierte Screen Time-Kennwort Geräte vor dem Zurücksetzen des lokalen Backup-Passworts und blockiert so die logische Erfassung auf iPhone und iPads mit unbekannten Backup-Passwörtern.

Bedeutung von Screen Time für die physische Erfassung

Mittels Screen Time können Nutzer auf ihrem iPhone oder iPad festlegen, ob neue Apps installiert werden sollen. Dies wiederum blockiert die Installation eines Jailbreak und damit die weitere physische Erfassung. Dies äußerst sich in der Praxis so: Während Screen Time-Kennwörter aus verschlüsselten lokalen Backups extrahiert werden können, tritt ein Deadlock auf, der weitere Erfassungsversuche verhindert, wenn die Sicherung selbst mit einem Kennwort geschützt ist. Nur durch das Screen Time-Passwort können Experten diesen Deadlock umgehen und mit dem Extrahieren des Dateisystems fortfahren.

„Selbst wenn Strafverfolgungsbehörden danach verlangen, kann selbst Apple durch die in iOS implementierte Ende-zu-Ende-Verschlüsselung nicht auf Screen Time-Daten und weitere Kennwörter zugreifen, um Daten aus dem Gerät auszulesen. Oft liegt nur der simple Grund vor, dass ein Gerät beschädigt oder ein iTunes-Backup-Passwort vergessen wurde. Unabhängig vom Schweregrad hilft dann nur noch die Brechstange“, sagt Vladimir Katalov, CEO von ElcomSoft.

Funktionsweise der Screen Time-Extraktion mit EPB 9.20

Elcomsoft Phone Breaker 9.20 kann auf allen Geräten, auf denen die Funktion „Geräteübergreifende Freigabe“ aktiviert wurde, Screen Time-Kennwörter extrahieren. Für den Zugriff auf die Screen Time-Daten benötigt der Experte die Apple ID-Anmelde-Informationen (Login, Passwort und 2FA-Code) des Benutzers sowie das Kennwort für die Bildschirmsperre von einem der registrierten iOS-Geräte (des Benutzers).
Das Betrachtungs- und Analyse-Tool Elcomsoft Phone Viewer wurde ebenfalls auf Version 4.70 aktualisiert, um die Komptabilität mit der neuen Datenkategorie zu gewährleisten. Es zeigt mit Elcomsoft Phone Breaker heruntergeladene Screen Time-Daten an und bietet umfassende Analyse-Möglichkeiten.

Zusätzlich zu Screen Time-Kennwörtern liest Elcomsoft Phone Breaker 9.20 die Liste der installierten Apps aus, die auf allen registrierten Geräten installiert sind – einschließlich Mac-Computer und Apple Watch. Diese Informationen sind ausschließlich für 2FA-Konten über die Screen Time-Analyse verfügbar.

Apple-Sprachmemos

Apples Sprachmemo-App zeichnet Audioaufnahmen mit dem eingebauten Mikrofon des iPhones auf. In iOS 12 wurde Voice Memos zu einer vollumfänglichen App für die Audioaufnahme und -bearbeitung ausgeweitet. Und Sprachnotizen werden häufig zum Aufzeichnen von Vorlesungen und Präsentationen, Interviews und Vorsprechproben verwendet. In iOS 12 und 13 werden die aufgenommenen Audioclips mit der iCloud synchronisiert, sie sind ebenfalls Bestandteil von lokaler iCloud-Backups.

Elcomsoft Phone Breaker bietet die Möglichkeit, Sprachmemos herunterzuladen, die mit der iCloud synchronisiert wurden. Mit Elcomsoft Phone Viewer hingegen können Audio-Dateien (ab Version 4.70) angehört werden, die aus lokalen iCloud-Backups sowie von in der iCloud-synchronisierten Daten stammen.

Über Elcomsoft Phone Breaker

Elcomsoft Phone Breaker ist ein All-in-one-Tool zur Erfassung mobiler Daten aus einer Vielzahl von Quellen. Das Tool unterstützt Offline- und Cloud-Backups, die von Apple-Geräten erstellt wurden. Es kann Benutzerdaten, einschließlich zwischengespeicherter Kennwörter und synchronisierter Authentifizierungs-Informationen, aus lokalen Backups extrahieren und entschlüsseln.

Preise und Verfügbarkeit

Elcomsoft Phone Breaker 9.20 ist ab sofort für Windows und MacOS verfügbar. Dieses Update ist für bestehende Benutzer mit derzeit gültiger Lizenz kostenlos. Screen Time-Support ist ausschließlich in der Forensic Edition für 799 Euro zuzüglich Mehrwertsteuer erhältlich. Die preisgünstigere Professional Edition ist für Privat- und Geschäftskunden für 199 Euro zuzüglich Mehrwertsteuer erhältlich und unterstützt eine begrenzte Anzahl an Datenkategorien. Die Zwei-Faktor-Authentifizierung wird in allen Editionen unterstützt.

Weitere Informationen unter: https://www.elcomsoft.de/