Mit Version 5.21 kann das iOS Forensic Toolkit (EIFT) von ElcomSoft den iOS-Schlüsselbund teilweise von ausgewählten Apple-Geräten extrahieren. Nach Herstellerangaben handele es sich etwa um iPhones mit den älteren Betriebssystem-Versionen iOS 12 bis iOS 12.3.

Die Datenextraktion sei jedoch auch auf deaktivierten und gesperrten iPhones möglich, die sich im BFU-Zustand (Before First Unlock) befinden, selbst wenn das Passwort für die Bildschirmsperre nicht vorliegt. Bei EIFT handelt es sich laut Hersteller um ein forensisches Tool, das Strafverfolgungsbehörden und Forensikern dabei hilft, Daten aus einer Reihe von mobilen Apple-Geräten auszulesen.

Die BFU-Schlüsselbund-Extraktion ist auf ausgewählten Apple-Geräten verfügbar und erfordert nach Angaben von ElcomSoft die Installation des Anfang Dezember 2019 veröffentlichten „checkra1n“-Jailbreaks. Der im Jailbreak enthaltene Exploit nutze eine Sicherheitslücke im Apple-Bootrom aus, sodass er hardwareunabhängig auf allen kompatiblen Geräten verfügbar ist. Das Auslesen des Schlüsselbunds gelte sowohl für deaktivierte als auch für gesperrte Geräte mit unbekanntem Passwort zu Bildschirmsperre (Screen Lock-Passcode). Der Jailbreak lasse sich über den DFU (Device Firmware Update)-Modus installieren und stehe unabhängig vom Sperrstatus (BFU/AFU-Status) zur Verfügung.

Im Vergleich zur Datenextraktion auf nicht gesperrten Apple-Geräten sei der neue BFU-Extraktions-Modus in der Lage, eine begrenzte Anzahl von iOS-Schlüsselbund-Elementen auszulesen. Ferner lassen sich insbesondere Datensätze extrahieren, in denen sich Authentifizierungsinformationen für einige E-Mail-Konten sowie weitere Authentifizierungs-Token befinden, so ElcomSoft.

In Version 5.21 ändert der Hersteller außerdem die Namensgebungen für Dateisystem-Image- und Keychain-TAR-Dateien. Da EIFT die Dateien bisher „user-tar“ und „keychaindump.tar“ genannt hat, seien diese Namen mehrdeutig und bei späteren Geräteerfassungen zu leicht zu überschreiben gewesen. Mit der neuen Version lassen sich beiden Dateien nun eindeutige Namen geben. So sollen die Dateisystem-Images jetzt „UDID_timestamp.tar“ und die Keychain-Dumps „keychain_UDID_timestamp.xml“ heißen. Durch die eindeutige Geräte-ID sowie den Zeitstempel gestaltet sich die Archivierung der extrahierten Dateisystem-Images und Keychain-Dumps leichter, so ElcomSoft weiter.

Laut Herstellerangaben unterstützt EIFT alle Modelle, die auf Apples A7 bis A11 SOC (System on a Chip) basieren. Dies umfasst die iPhone-Modelle 5s, 6, 6s, SE, 7 und 8 sowie die Plus-Versionen und das iPhone X. Ferner soll das Forensik-Tool iPad-Geräte unterstützen, die auf den entsprechenden CPUs laufen. Dies umfasst Modelle vom iPad mini 2 bis zum iPad 2018, iPad, 10.2, iPad Pro 12.9 (erste Generation) und iPad Pro 10.5.

Weitere Informationen finden sich unter www.elcomsoft.de.

Timo Scheibe ist Redakteur bei der LANline.