2357565

iOS Forensic Toolkit: Umgehung der Secure Enclave möglich

21.06.2018 | 13:49 Uhr |

Die neue Version des iOS-Knackers von Elcomsoft kann Elemente des iOS-Schlüsselbunds auslesen.

Vor allem an Behörden richtet sich das iOS Forensic Toolkit 4.0 , es soll etwa einer Polizeibehörde die forensische Auswertung eines iPhones ermöglichen. Dabei kennt die Software zwei Modi: Bei einem Gerät mit Jailbreak ist die „Physische Erfassung“ der iPhone-Daten möglich, also die Auswertung aller Daten.

Ohne Jailbreak ist zumindest eine teilweise Auswertung, die „Logische Erfassung“ von Sicherungen, Absturzprotokollen, Medien und freigegebenen Daten möglich. Dazu muss das Geräte allerdings entsperrt sein, über das Passwort, Touch ID oder eine Lockdown-Datei des Benutzer-Rechners.

Das jetzt aktualisierte Tool bietet außerdem die Entsperrung per Pairing-Datensätzen und weitere Optionen. Verschlüsselte iTunes-Backups kann etwa das Zusatztool Elcomsoft Phone Breaker öffnen.

Erstmals kann die neue Version auch Keychain-Elemente extahieren, selbst besonders geschützte Elemente (ThisDeviceOnly-Daten) gehören dazu. Möglich macht dies laut Firmengründer Oleg Afonin ein neu entdeckter Secure-Enclave-“Bypass“. Interessant ist dies, da man so Zugriff auf Daten erhält, die nur auf dem Gerät vorliegen. Allerdings setzt dies ein Jailbreak voraus.

Die Auswertung von Schlüsselbund-Inhalten ist möglich.
Vergrößern Die Auswertung von Schlüsselbund-Inhalten ist möglich.
© Elcomsoft

Reduziert hat der Hersteller dagegen die Anzahl der unterstützten Geräte, nur noch ab iPhone 5 bis iPhone X ist das Tool einsetzbar. Neu: Das Tool verhindert jetzt während der Nutzung, dass ein entsperrtes Geräte sich automatisch sperrt. Verfügbar ist die Lösung für Windows und Mac, eine Lizenz kostet ab 1495 Euro.

Ob die neue Forensik-Lösung aus Moskau ihre knapp 1500 Euro wert ist, sei dahingestellt. Zu hoch sind die Hürden im Normalfall: Zum einen muss das iPhone entsperrt sein, was den Zugang zu sämtlichen Daten auf dem Gerät erlaubt (ausgeschlossen der Apps, die zusätzliche Verifikation per Face ID, Touch ID oder Passwort-Eingabe verlangen). Für die Schlüsselbund-Daten ist gar ein Jailbreak notwendig, was momentan noch die wenigsten Nutzer machen.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2357565