Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

IPhone8 Quelle Koktaro Shutterstock 1036000876 700

Bild: KOKTARO / Shutterstock.com

ElcomSoft aktualisiert das iOS Forensic Toolkit (EIFT), ein mobiles, forensisches Tool zur Datenextraktion aus iPhones, iPads und iPod Touch-Geräten. Das Tool wurde mit Version 4.0 generalüberholt und es kann nun Elemente von 64-Bit-iOS-Geräten aus dem iOS-Schlüsselbund extrahieren und entschlüsseln, wodurch der sichere Secure Enclave-Schutz auf Geräten mit oder ohne Jailbreak erfolgreich umgangen wird. 

Version 4.0 legt zudem einen stärkeren Fokus auf neuere iOS-Geräte und überdies wird der Support für die älteren Apple-Geräte weitgehend eingestellt. Darüber hinaus kann nun auf iOS-Crash-Logs zugegriffen werden.

iOS Forensic Toolkit 4.0 bietet die Möglichkeit, während der physischen Erfassung Schlüsselbund-Elemente zu extrahieren und zu entschlüsseln. Dabei wird der gesamte Inhalt des Schlüsselbunds entschlüsselt, einschließlich Datensätzen, die mit dem 'ThisDevice-Only'-Attribut gesichert sind. Dadurch können wichtige Informationen wie beispielsweise Authentifizierungstoken extrahiert werden. Dies wiederum ermöglicht es Forensikern auf alle Social Media- und Messer-Konten zuzugreifen, die jemals auf dem Gerät verwendet wurden. Das Tool verhindert zudem die Aktivierung der automatischen Bildschirmsperre des iOS-Geräts während die Daten-Extraktion läuft. Damit wird sichergestellt, dass auch jene Datensätze mit den stärksten Sicherheitsattributen erfolgreich extrahiert und entschlüsselt werden.

Der iOS-Schlüsselbund ist eine Lösung von Apple, um Passwörter, Schlüssel, Authentifizierungstoken, Zertifikate, Zahlungsdaten und anwendungsspezifische Anmelde-Informationen sicher zu speichern. Während einige Schlüsselbund-Elemente durch die Analyse einer kennwortgeschützten lokalen Sicherung wiederhergestellt werden können, können mit dem Attribut 'ThisDeviceOnly'-geschützte Datensätze nur auf dem Gerät selbst entschlüsselt werden.

Der Schlüsselbund ist sicher mit einem hardwarespezifischen Schlüssel verschlüsselt. In 64-Bit-Hardware (iPhone 5s und alle neueren iOS-Geräte) ist dieser Schlüssel zusätzlich mit Secure Enclave geschützt.

iOS Forensic Toolkit 4.0 bietet die physische Erfassung für alle 64-Bit-Apple-Geräte (iPhone 5s, 6 / 6s / 7 / 8 / Plus, iPhone SE und iPhone X) verfügbar, auf denen ein Jailbreak installiert werden kann.

Fokus auf aktuelle Geräte

In früheren Versionen von iOS Forensic Toolkit wurden Geräte unterstützt, die so alt waren, wie das iPhone 3G, das 2008 veröffentlicht wurde. Die Unterstützung solch zahlreicher Geräte führte jedoch mit der Zeit zu einer überladenen Benutzeroberfläche.

In der aktuellen Version konzentriert sich ElcomSoft auf die aktuelle Generation von Apple-Geräten: Das iOS Forensic Toolkit unterstützt alle 64-Bit iPhone-, iPad- und iPod Touch-Modelle, beginnend mit dem iPhone 5s. Durch die Beschränkung auf die aktuellen Geräte-Generationen wurde eine optimierte Benutzeroberfläche geschaffen, die einen präzisen, forensischen Workflow ermöglicht.

Zugriff auf Absturzprotokolle

iOS Forensic Toolkit 4.0 bietet die Möglichkeit, Absturzprotokolle von iOS-Geräten mit oder ohne Jailbreak zu extrahieren. Der Zugriff auf Absturzprotokolle erfordert ein gekoppeltes Gerät oder Zugriff auf eine gültige Sperrdatei.

Absturzprotokolle können wichtige Hinweise enthalten, die nicht in einem lokalen Backup enthalten sind, aber möglicherweise aus dem Gerät extrahiert werden können. Aus forensischer Sicht können Crash-Logs von Vorteil sein, da sie eine Liste der installierten und deinstallierten Apps enthalten. Sobald ein Forensik-Experte einen Crash-Log-Eintrag entdeckt, der von einer App erstellt wurde, die nicht mehr im System vorhanden ist, kann davon ausgegangen werden, dass die App mindestens bis zu dem im Crash-Log-Eintrag angegebenen Datum und Zeitpunkt auf dem Gerät installiert war.

www.elcomsoft.de

 

GRID LIST
Spyware

FinSpy schlägt wieder zu - Überwachung von WhatsApp bis Threema

Sicherheitsexperten von Kaspersky haben neue Versionen von ,FinSpy‘, einem komplexen,…
Tb W190 H80 Crop Int 2fccc559bfa6855ea993398e41180e73

Bei mobile Phishing nicht ins Schwimmen geraten

Phishing gilt gemeinhin als eine der größten Herausforderungen für Cybersicherheit…
Cirque du Soleil

Cirque du Soleil: Manege frei für App mit Sicherheitslücken

Die Sammelwut von Apps auf Smartphones und Tablets entwickelt sich immer mehr zum…
 Android

Auf 15 Millionen Android Geräten sind bösartige Apps installiert

BitSight betreibt über eine Tochterfirma eine der größten Sinkhole-Infrastrukturen…
Tb W190 H80 Crop Int 2cf54d177a5d2839151422fa65428957

Keine mobile Sicherheit ohne Security by Design

Bei der Softwareentwicklung von Desktop-, Web- und Mobil-Anwendungen kommt niemand mehr…
Huawei Security

Sicherheitstipps für Huawei Nutzer

Huawei musste am Sonntag erfahren, dass Google die Geschäftsaktivitäten mit ihnen…