Direkter logischer und physischer Zugriff iOS-Geräte

Elcomsoft hat eine neue Version seines iOS Forensic Toolkits (EIFT) herausgebracht. Sie ermöglicht jetzt den physische Zugriff auf die meisten iPhones und iPads. Darüber hinaus gibt es nun die Option zum logischen Zugriff auf Geräte, wobei die Entschlüsselung der Codesperre nicht mehr erforderlich ist.

Wer Daten mit Mobilgeräten (iOS) aus dem Apple Universum austauschen möchte, benötigt die entsprechenden Anwendungen des Herstellers, die für einen Datenaustausch ausgelegt sind. Um beispielsweise Musik oder Filme von seinem iPad zu sichern, nutzen Anwender iTunes. Ein direkter Zugriff auf die Dateien auf dem iOS Tablet ist jedoch so einfach nicht möglich. Das gilt bisher auch für forensische Untersuchungen sowie in weiten Bereichen für Fragen der Datenrettung.

In seiner neuen Version bietet das iOS Forensic Toolkit (EIFT) von Elcomsoft logischen Zugriff für alle Generationen von iPhone, iPad, iPad Pro und iPod Touch, unabhängig davon, ob es sich um eine iOS- oder eine Jailbreak-Version handelt. Im Gegensatz zum Zugriff über Apple iTunes ermöglicht EIFT die Nutzung von Lockdown-Dateien (Pairing Records) auf iOS-Geräten, ohne die Codesperre oder die Touch ID zur Entsperrung verwenden zu müssen. Mithilfe der Erweiterung des Toolkits durch den logischen Zugriff zusätzlich zum physischen strebt ElcomSoft eine forensische All-in-One-Erfassungslösung für das breiteste Spektrum an iOS-Geräten an. Das Toolkit ist dabei sowohl für Windows als auch für Mac OS X verfügbar.

Darüber hinaus unterstützt Version 2.1 nach Herstellerangaben den physischen Zugriff auf Apple-Geräte, auf denen iOS 9.3.3 mit dem neu veröffentlichten Pangu Jailbreak für 64-Bit-Geräte ausgeführt wird. Zudem können Informationen aus allen Arten von iOS-Geräten extrahiert werden, unabhängig davon, ob es sich dabei um eine iOS- oder Jailbreak-Version handelt. Das gilt selbst dann, wenn die Geräte mit einem unbekannten Passwort geschützt sind.

»Beim iOS Forensic Toolkit ging es bis jetzt ausschließlich um den physischen Zugriff«, sagt Vladimir Katalov, CEO von Elcomsoft. »Wir waren die ersten, die Zugriff auf das iPhone 4s, 5 und 5c ermöglicht hatten. Wir schafften als erster den physischen Zugriff auf 64-Bit-Geräte, aber bis jetzt hatten wir nicht die Möglichkeit, auf Geräte ohne Jailbreak zuzugreifen. Wenn Sie ein iPhone oder iPad ohne Jailbreak haben, können wir jetzt seinen Inhalt in ein iTunes-ähnliches Backup laden, ohne tatsächlich iTunes zu benutzen, und das manchmal sogar ohne dass eine Codesperre hinderlich wäre.«

Der logische Zugriffsprozess erfordert, dass das Gerät zumindest einmal nach dem Kaltstart freigeschaltet wird. Die Ermittler werden das Gerät mithilfe der Codesperre, der Touch ID oder des nicht abgelaufenen Pairing Record (Lockdown-Datei) entsperren, die sie vom Computer des Benutzers gesammelt hatten. Der logische Zugriff ist eine einfachere und sichere Zugriffsmethode im Vergleich zum physischen Zugriff. Dabei wird ein iTunes-ähnliches Backup von den Informationen erzeugt, die auf dem Gerät gespeichert sind.