ElcomSoft aktualisiert Elcomsoft Phone Breaker (EPB), ein Tool zur Extraktion forensisch relevanter Daten aus Offline- und Online-Backups von Apple-, BlackBerry- und Windows Phone-Geräten.
Mit Version 9.20 ist es erstmals möglich, Screen Time-Passwörter aus der iCloud zu extrahieren, wodurch Forensiker überhaupt erst eine logische oder physische Erfassung eines Gerätes vollumfänglich durchführen können. Ferner lädt das Tool nun Sprachmemos aus der iCloud herunter. Für Polizei und Behörden erweitert sich damit die lange Liste bisher unterstützter Dateitypen wie Anrufprotokolle, Fotobibliotheken und iCloud-Kennwörter um weitere, forensisch relevante Datenkategorien.
Bedeutung von Screen Time für die logische Erfassung
Das Screen Time-Passwort ist ein optionaler Sicherheitsmechanismus, der ab iOS 12 eingeführt wurde, und mit dem Nutzer auf iPhones und iPads Einschränkungen hinsichtlich Inhalten und Privatsphäre vornehmen können. Oftmals stellen Screen Time-Passwörter für Forensiker das letzte fehlende Puzzle-Teil dar, um mit dem logischen Erfassungsprozess zu beginnen. Denn selbst wenn auf Geräten keine spezifischen Einschränkungen konfiguriert sind, schützt das aktivierte Screen Time-Kennwort Geräte vor dem Zurücksetzen des lokalen Backup-Passworts und blockiert so die logische Erfassung auf iPhone und iPads mit unbekannten Backup-Passwörtern.
Bedeutung von Screen Time für die physische Erfassung
Mittels Screen Time können Nutzer auf ihrem iPhone oder iPad festlegen, ob neue Apps installiert werden sollen. Dies wiederum blockiert die Installation eines Jailbreak und damit die weitere physische Erfassung. Dies äußerst sich in der Praxis so: Während Screen Time-Kennwörter aus verschlüsselten lokalen Backups extrahiert werden können, tritt ein Deadlock auf, der weitere Erfassungsversuche verhindert, wenn die Sicherung selbst mit einem Kennwort geschützt ist. Nur durch das Screen Time-Passwort können Experten diesen Deadlock umgehen und mit dem Extrahieren des Dateisystems fortfahren.
„Selbst wenn Strafverfolgungsbehörden danach verlangen, kann selbst Apple durch die in iOS implementierte Ende-zu-Ende-Verschlüsselung nicht auf Screen Time-Daten und weitere Kennwörter zugreifen, um Daten aus dem Gerät auszulesen. Oft liegt nur der simple Grund vor, dass ein Gerät beschädigt oder ein iTunes-Backup-Passwort vergessen wurde. Unabhängig vom Schweregrad hilft dann nur noch die Brechstange“, sagt Vladimir Katalov, CEO von ElcomSoft.
Funktionsweise der Screen Time-Extraktion mit EPB 9.20
Elcomsoft Phone Breaker 9.20 kann auf allen Geräten, auf denen die Funktion „Geräteübergreifende Freigabe“ aktiviert wurde, Screen Time-Kennwörter extrahieren. Für den Zugriff auf die Screen Time-Daten benötigt der Experte die Apple ID-Anmelde-Informationen (Login, Passwort und 2FA-Code) des Benutzers sowie das Kennwort für die Bildschirmsperre von einem der registrierten iOS-Geräte (des Benutzers).
Das Betrachtungs- und Analyse-Tool Elcomsoft Phone Viewer wurde ebenfalls auf Version 4.70 aktualisiert, um die Komptabilität mit der neuen Datenkategorie zu gewährleisten. Es zeigt mit Elcomsoft Phone Breaker heruntergeladene Screen Time-Daten an und bietet umfassende Analyse-Möglichkeiten.
Zusätzlich zu Screen Time-Kennwörtern liest Elcomsoft Phone Breaker 9.20 die Liste der installierten Apps aus, die auf allen registrierten Geräten installiert sind – einschließlich Mac-Computer und Apple Watch. Diese Informationen sind ausschließlich für 2FA-Konten über die Screen Time-Analyse verfügbar.
Apple-Sprachmemos
Apples Sprachmemo-App zeichnet Audioaufnahmen mit dem eingebauten Mikrofon des iPhones auf. In iOS 12 wurde Voice Memos zu einer vollumfänglichen App für die Audioaufnahme und -bearbeitung ausgeweitet. Und Sprachnotizen werden häufig zum Aufzeichnen von Vorlesungen und Präsentationen, Interviews und Vorsprechproben verwendet. In iOS 12 und 13 werden die aufgenommenen Audioclips mit der iCloud synchronisiert, sie sind ebenfalls Bestandteil von lokaler iCloud-Backups.
Elcomsoft Phone Breaker bietet die Möglichkeit, Sprachmemos herunterzuladen, die mit der iCloud synchronisiert wurden. Mit Elcomsoft Phone Viewer hingegen können Audio-Dateien (ab Version 4.70) angehört werden, die aus lokalen iCloud-Backups sowie von in der iCloud-synchronisierten Daten stammen.
Verantwortlicher für diese Pressemitteilung:
Elcomsoft Co. Ltd.
Frau Olga Koksharova
Zvezdnyi blvd. 21
129085 Moskau
Rußland
fon ..: +7 495 9741162
web ..: http://www.elcomsoft.de
email : sales@elcomsoft.de
Pressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München
fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : elcomsoft@prolog-pr.com