ElcomSofts iOS Forensic Toolkit (EIFT) 5.0 unterstützt laut Hersteller nun die Datenextraktion aus Apple-Geräten, die unter iOS 12 bis hin zu Version 12.1.2 laufen. Das Tool extrahiere den Inhalt des Dateisystems und entschlüssle Kennwörter sowie Authentifizierungsdaten, die im iOS-Schlüsselbund gespeichert sind. Erstmals sei das Extraktionswerkzeug nicht auf einen eigenständigen Jailbreak angewiesen, um auf das Dateisystem von iPhone, iPad und Co. zuzugreifen.

Das Toolkit verwendet laut Elcomsoft einen Rootless Jailbreak, der den Vorteil habe, im Gegensatz zu klassischen Jailbreaks nur einen geringen forensischen Fußabdruck auf dem iOS-Gerät zu hinterlassen. Denn ein herkömmlicher Jailbreak, so der russische Forensikspezialist, führe Schritte aus, um das Dateisystem erneut bereitzustellen und den Inhalt der Systempartition zu ändern. So könne das Gerät nur schwer in den unveränderten Zustand zurückkehren. Daher eigne sich der klassische Jailbreak aus forensischer Sicht nur eingeschränkt.

Über einen Rootless Jailbreak hingegen erlange der Anwender Low-Level-Zugriff. Damit erhalte man nicht nur Zugriff auf das Root- oder /-Verzeichnis, sondern auch auf das /var-Verzeichnis. Derzeit, so Elcomsoft, werde der Rootless Jailbreak „auf den meisten Geräten“ unterstützt, auf denen iOS 12 läuft.

Per Rootless Jailbreak erlangt EIFT laut Elcomsoft Low-Level-Zugriff auf das iOS-Gerät und somit vollen Zugriff auf das Dateisystem und den Schlüsselbund. Bild: Elcomsoft

Per Rootless Jailbreak erlangt EIFT laut Elcomsoft Low-Level-Zugriff auf das iOS-Gerät und somit vollen Zugriff auf das Dateisystem und den Schlüsselbund. Bild: Elcomsoft

Elcomsofts iOS Forensic Toolkit 5.0 dient dazu, Privatanwendern, Unternehmen sowie Ermittlungsbehörden (und damit auch anderen „regierungsnahen“ Organisationen) das physische Auslesen von Daten aus iOS-Geräten zu ermöglichen. Die physische Erfassung bietet laut Elcomsoft gegenüber allen anderen Erfassungsmethoden – darunter fällt etwa das Kapern des iCloud-Kontos – diverse Vorteile. Denn sie ermögliche den Zugriff auf geschützte Teile des Dateisystems und erlaube somit auch die Extraktion von Daten, die nicht mit der iCloud synchronisiert werden oder in lokalen Sicherungen enthalten sind. Die physische Erfassung sei die einzige Methode, um auf Schlüsselbund-Elemente zuzugreifen, die auf höchsten Schutz abzielen.

Hierfür hat ElcomSoft laut eigenem Bekunden ein Verfahren zum Auslesen und Entschlüsseln geschützter Schlüsselbund-Objekte entwickelt, das im Vergleich zur logischen oder Cloud-Extraktion eine weitaus größere Beweismenge liefern soll. Zu den ausschließlich durch physische Extraktion verfügbaren Elementen zählen laut den Russen Kennwörter zum Sichern von Apps sowie Authentifizierungs-Tokens für E-Mail-Konten, Online-Dienste und soziale Netzwerke.

Über die Extraktion des Dateisystems erhalte man vollen Zugriff auf Anwendungs-Sandboxen und alle Systembereiche. Zu den ausschließlich dadurch verfügbaren Daten zählen laut Elcomsoft-Angaben heruntergeladene E-Mails, Chat-Datenbanken, Daten von Zwei-Faktor-Authentifizierungs-Apps, Systemprotokolle und detaillierte Standortdaten.

Das iOS Forensic Toolkit für macOS X erfordert einen Rechner mit macOS ab Version 10.6 (Snow Leopard), zudem sollte iTunes 10.6 oder höher installiert sein. Das Toolkit für Windows setzt eine Installation von iTunes 10.6 oder höher unter Windows 7, 8, 8.1 oder 10 voraus. Das Toolkit unterstütze „Jailbroken“ 64-Bit-Geräte (iPhone 5s und neuer) mit den „meisten Versionen“ von iOS 7 bis 12. Die Vollversion kostet laut Hersteller-Website 1.495 Euro.

Weitere Informationen finden sich unter www.elcomsoft.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.