(openPR) ElcomSoft hat das iOS Forensic Toolkit aktualisiert, ein mobiles forensisches Tool zur Extraktion von Daten aus mobilen Endgeräten von Apple.
------------------------------
Mit der aktuellsten Version 5.30 kann nun mittels Entschlüsselung des iOS-Schlüsselbundes eine vollständige Extraktion des Dateisystems vorgenommen werden. Die Besonderheit: Hierzu muss kein Jailbreak auf dem iPhone oder iPad installiert sein. Die neue Datenerfassungs-Methode funktioniert auf allen Apple-Geräten, die unter iOS 11 und 12 laufen (außer iOS 12.3 und 12.3.1). Die Palette reicht vom iPhone 5s bis zum iPhone Xr, Xs und Xs Max.
Dateisystem-Extraktion ohne Jailbreak
Das Update 5.30 für das iOS Forensic Toolkit ist für alle Lizenzinhaber ab sofort ohne zusätzliche Kosten verfügbar. Es erweitert die Palette der für Apple iPhone und iPad-Geräte verfügbaren Extraktionsmethoden. Bei früheren Versionen des iOS Forensic Toolkit konnten Nutzer zwischen zwei Methoden wählen: Eine erweiterte logische Extraktion und eine vollständige Extraktion des Dateisystems samt Entschlüsselung des Schlüsselbunds; letztere war bisher nur auf Geräten mit Jailbreak - wie etwa dem checkra1n-Jailbreak - verfügbar. Ein solcher Jailbreak ist erforderlich, um einen Low-Level-Zugriff auf das Dateisystem und den Schlüsselbund zu erhalten. Dies ermöglicht wiederum die Extraktion einer größeren Anzahl an Beweisen im Vergleich zur fortgeschrittenen logischen Erfassung, bei der iOS-Backups als Datenbasis herangezogen werden.
Minimalinvasiver Eingriff dank neuem Extraktions-Agenten
Die neue Methode ist eine Eigenentwicklung von ElcomSoft und unterscheidet sich folgendermaßen von Methoden, bei denen Jailbreaks herangezogen werden: Ein auf dem iPhone oder iPad installierter Extraktions-Agent kommuniziert direkt mit dem Computer des Forensik-Experten. Er liefert einen hohen Datendurchsatz von über 1 Gigabyte pro Minute. Diese Agenten-basierte Methode ist sicher in der Anwendung, da hierfür weder die Systempartition verändert noch das Dateisystem neu gemounted werden muss. Sowohl das Dateisystem-Image als auch alle Schlüsselbund-Einträge werden extrahiert und entschlüsselt.
Auf diese Weise kann eine forensisch solide Extraktion mit automatischem Hashing während des laufenden Betriebs eines Gerätes durchgeführt werden. Der ElcomSoft-Agent kann nach Abschluss der Extraktion mit einem einzigen Befehl wieder vom Gerät entfernt werden.
"Die Installation eines Jailbreaks stellt oft ein Problem dar. Forensische Ermittler und Strafverfolgungs-Behörden zögern oft mit einer Installation. Dies ist etwa der Fall, wenn observierte Verdächtige nicht merken sollen, dass auf ihrem Gerät etwas verändert wurde. Mit der in Version 5.30 eingeführten neuen Extrkations-Methode erhalten sie über das iOS Forensic Toolkit nun direkten Zugriff auf das Dateisystem", erklärt Vladimir Katalov, CEO von ElcomSoft.
Kompatibilität
Um den Extraktions-Agenten zu nutzen, muss das zu analysierende Apple-Gerät unter iOS 11 bis 12.4 laufen. Ausgenommen hiervon sind bisher nur die Versionen iOS 12.3 und 12.3.1. ElcomSoft arbeitet daran, die Palette der unterstützten Versionen von iOS zu erweitern und die Kompatibilität mit den neuesten Apple-Geräten zu verbessern. Eine gültige Apple-ID, die im Apple Developer Program registriert ist, ist erforderlich, um den Extraktionsagenten zu signieren.
Über das Elcomsoft iOS Forensic Toolkit
Das Elcomsoft iOS Forensic Toolkit ist das einzige Tool auf dem Markt, das eine physische Erfassung von Daten aus Apple-Geräten mit 64-Bit-SoC (vorbehaltlich der Verfügbarkeit von Jailbreaks) anbietet. Die physische Erfassung für 64-Bit-Geräte liefert im Vergleich zu logischen und Over-the-Air-Ansätzen deutlich mehr Informationen.
Preise und Verfügbarkeit
Elcomsoft iOS Forensic Toolkit 5.30 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 5.30 ist ab 1.495 EUR zuzüglich Mehrwertsteuer erhältlich. Bestehende Kunden erhalten das Update je nach Lizenz kostenfrei oder mit Rabatt.
------------------------------
Pressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München
fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email :
