Forensisch fundierte checkm8-Extraktion für ausgewählte iPhone- und iPad-Modelle

11. Oktober 2022

ElcomSoft kommt mit einem großen Update des mobilen forensischen Extraktionstools Elcomsoft iOS Forensic Toolkit heraus. Die neue Version 8.0 bietet wiederholbare, verifizierbare und forensisch fundierte checkm8-Extraktion für eine Vielzahl von Apple-Geräten und verfügt über eine aktualisierte Kommandozeilen-gesteuerte Benutzeroberfläche. Darüber hinaus ist nun die vollständige Passcode-Entsperrung für ausgewählte ältere Apple-Geräte verfügbar.

Zurzeit ist eine Mac-Edition des Tools verfügbar, Linux- und Windows-Editionen werden in Kürze folgen.

Erweiterter checkm8-basierter Extraktionsprozess

Elcomsoft iOS Forensic Toolkit 8.0 für Mac führt einen neuen forensisch fundierten Extraktions-Workflow ein, der auf einem Bootloader-Exploit basiert. Der neue checkm8-basierte Extraktionsprozess ermöglicht die vollständigste Extraktion, wobei alle Schlüsselbund-Datensätze unabhängig von der Schutzklasse und der gesamte Inhalt des Dateisystems extrahiert werden. Dabei eingeschlossen sind Anwendungs-Sandboxen, Chat-Sitzungen in sicheren Messaging-Apps und viele Low-Level-Systemdaten, die niemals in lokalen oder Cloud-Backups enthalten sind.

Die neue Extraktions-Methode ist die bisher sauberste, da keine Änderungen am Gerätespeicher vorgenommen wurden. Einzigartig ist der Extraktions-Prozess, der von Grund auf neu entwickelt wurde. Dabei laufen alle Prozess-Schritte vollständig im flüchtigen Speicher des Geräts ab. Das auf dem Gerät installierte Betriebssystem und die Datenpartition bleiben unberührt, und das ursprünglich installierte Betriebssystem wird während des Bootvorgangs nicht gestartet.

Die checkm8-basierte Lösung von ElcomSoft unterstützt mehrere iOS-Generationen, die mit unterstützter Hardware, bis einschließlich iOS 15.7 mit eingeschränkter Unterstützung für iOS 16, kompatibel sind. Darüber hinaus unterstützt der Extraktions-Prozess alle kompatiblen tvOS und watchOS, die auf unterstützten Apple Watch- und Apple TV-Modellen installiert sind.

Der neue, forensisch fundierte Arbeitsablauf, bei dem 100 % des Patchings im Arbeitsspeicher des Geräts stattfindet, ermöglicht wiederholbare, überprüfbare Extraktionen. Für 64-Bit-Geräte mit unbekannten Passwörtern für die Bildschirmsperre ist eine eingeschränkte BFU-Extraktion (Before First Unlock) verfügbar, während USB-Einschränkungen vollständig umgangen werden können. Für ältere 32-Bit-Geräte ist nun die vollständige Entsperrung des Passcodes möglich.

Erweiterte Benutzerfreundlichkeit

iOS Forensic Toolkit bietet in der Version 8.0 eine neue, erweiterte Benutzeroberfläche, die auf der Kommandozeile basiert. Die Verwendung der Befehlszeile ermöglicht die vollständige Kontrolle über jeden Schritt des Extraktions-Ablaufs, sodass Experten die Kontrolle über jeden Schritt des Prozesses behalten. Dank der Befehlszeile können Experten auch ihre eigenen Skripte erstellen, um ihre spezifischen Routinen zu automatisieren.

Kompatibilität

Elcomsoft iOS Forensic Toolkit 8.0 für Mac bietet forensisch fundierte checkm8-Extraktion für 76 Apple-Geräte vom iPhone 4 bis zum iPhone X, eine große Anzahl von iPad-, iPod Touch-, Apple Watch- und Apple TV-Modellen. Der neu entwickelte Extraktions-Prozess unterstützt eine Reihe wichtiger Betriebssystem-Versionen von iOS 7 bis iOS 15.7 in drei verschiedenen Varianten (iOS, tvOS, watchOS) für drei verschiedene Architekturen (arm64, armv7, armv7k).

Für Geräte, die auf der armv7- und armv7k-Architektur basieren, ist eine vollständige Entsperrung des Passcodes zusammen mit Dateisystem-Extraktion und Schlüsselbund-Entschlüsselung verfügbar. Bei neueren arm64-basierten Geräten werden die vollständige Dateisystem-Extraktion und die Schlüsselbund-Entschlüsselung für Geräte mit einem bekannten oder leeren Passcode unterstützt.

Mit diesem Update wird das Elcomsoft iOS Forensic Toolkit zum fortschrittlichsten iOS- Erfassungstool auf dem Markt. Das Toolkit unterstützt nun alle möglichen Erfassungsmethoden, einschließlich der erweiterten logischen, agentenbasierten und checkm8-basierten Low-Level-Extraktion.

Hintergrund: Elcomsoft iOS Forensic Toolkit

Das Elcomsoft iOS Forensic Toolkit bietet forensischen Zugriff auf verschlüsselte Informationen, die auf beliebten Apple-Geräten mit iOS gespeichert sind, und bietet Dateisystem-Imaging und Schlüsselbund-Extraktion von den neuesten Generationen von iOS-Geräten. Durch die Low-Level-Extraktion des Geräts bietet das Toolkit sofortigen Zugriff auf alle geschützten Informationen, einschließlich SMS- und E-Mail-Nachrichten, Anrufliste, Kontakte und Organizer-Daten, Browserverlauf, Voicemail- und E-Mail-Konten und -Einstellungen, gespeicherte Logins und Passwörter, Geolocation-Verlauf, Konversationen, die über alle Instant-Messaging-Apps übertragen werden, einschließlich der sichersten wie Signal, Wickr und Telegram, sowie alle anwendungsspezifischen Daten, die auf dem Gerät gespeichert sind.