Elcomsoft iOS Forensic Toolkit (EIFT)

Apple Secure Enclave-Schutz lässt sich umgehen

| Redakteur: Peter Schmitz

Die Secure Enclave ist ein besonders geschützter Bereich in Apple-CPUs seit dem A7-Chip. Das iOS Forensic Toolkit 4 von Elcomsoft umgeht diesen Schutz jetzt angeblich und kann so auf den iOS-Schlüsselbund zugreifen.
Die Secure Enclave ist ein besonders geschützter Bereich in Apple-CPUs seit dem A7-Chip. Das iOS Forensic Toolkit 4 von Elcomsoft umgeht diesen Schutz jetzt angeblich und kann so auf den iOS-Schlüsselbund zugreifen. (Bild: gemeinfrei / CC0)

Elcomsoft hat das iOS Forensic Toolkit (EIFT), ein mobiles, forensisches Tool zur Daten­extraktion aus iPhones, iPads und iPod Touch-Geräten aktualisiert. Version 4.0 des Tools kann jetzt Elemente von 64-Bit-iOS-Geräten aus dem iOS-Schlüsselbund extrahieren und ent­schlüs­seln, wodurch der sichere Secure Enclave-Schutz erfolgreich umgangen wird.

Das Elcomsoft iOS Forensic Toolkit 4.0 bietet die Möglichkeit, während der physischen Erfassung Schlüsselbund-Elemente zu extrahieren und zu entschlüsseln. Dabei wird der gesamte Inhalt des Schlüsselbunds entschlüsselt, einschließlich Datensätzen, die mit dem 'ThisDevice-Only'-Attribut gesichert sind. Dadurch können wichtige Informationen wie beispielsweise Authentifizierungstoken extrahiert werden. Dies wiederum ermöglicht es Forensikern auf alle Social Media- und Messenger-Konten zuzugreifen, die jemals auf dem Gerät verwendet wurden. Das Tool verhindert zudem die Aktivierung der automatischen Bildschirmsperre des iOS-Geräts während die Daten-Extraktion läuft. Damit wird sichergestellt, dass auch jene Datensätze mit den stärksten Sicherheitsattributen erfolgreich extrahiert und entschlüsselt werden.

Der iOS-Schlüsselbund ist eine Lösung von Apple, um Passwörter, Schlüssel, Authentifizierungstoken, Zertifikate, Zahlungsdaten und anwendungsspezifische Anmeldeinformationen sicher zu speichern. Während einige Schlüsselbund-Elemente durch die Analyse einer kennwortgeschützten lokalen Sicherung wiederhergestellt werden können, können mit dem Attribut 'ThisDeviceOnly'-geschützte Datensätze nur auf dem Gerät selbst entschlüsselt werden. Der Schlüsselbund ist sicher mit einem hardwarespezifischen Schlüssel verschlüsselt. In 64-Bit-Hardware (iPhone 5s und alle neueren iOS-Geräte) ist dieser Schlüssel zusätzlich mit Secure Enclave geschützt.

„Jailbreak oder nicht, die Umgehung der Secure Enclave Schutz galt lange als unmöglich. Mit der neusten Version des iOS Forensic Toolkit können nun Schlüsselbund-Elemente von 64-Bit-iOS-Geräten mit Secure Enclave extrahiert und entschlüsselt werden“, sagt Vladimir Katalov, CEO von Elcomsoft. iOS Forensic Toolkit 4.0 bietet die physische Erfassung für alle 64-Bit-Apple-Geräte (iPhone 5s, 6 / 6s / 7 / 8 / Plus, iPhone SE und iPhone X) verfügbar, auf denen ein Jailbreak installiert werden kann.

Fokus auf aktuelle Geräte

In früheren Versionen von iOS Forensic Toolkit wurden Geräte unterstützt, die so alt waren, wie das iPhone 3G, das 2008 veröffentlicht wurde. Die Unterstützung solch zahlreicher Geräte führte jedoch mit der Zeit zu einer überladenen Benutzeroberfläche. In der aktuellen Version konzentriert sich Elcomsoft auf die aktuelle Generation von Apple-Geräten: Das iOS Forensic Toolkit unterstützt alle 64-Bit iPhone-, iPad- und iPod Touch-Modelle, beginnend mit dem iPhone 5s. Durch die Beschränkung auf die aktuellen Geräte-Generationen wurde eine optimierte Benutzeroberfläche geschaffen, die einen präzisen, forensischen Workflow ermöglicht.

Zugriff auf Absturzprotokolle

Das iOS Forensic Toolkit 4.0 bietet die Möglichkeit, Absturzprotokolle von iOS-Geräten mit oder ohne Jailbreak zu extrahieren. Der Zugriff auf Absturzprotokolle erfordert ein gekoppeltes Gerät oder Zugriff auf eine gültige Sperrdatei. Absturzprotokolle können wichtige Hinweise enthalten, die nicht in einem lokalen Backup enthalten sind, aber möglicherweise aus dem Gerät extrahiert werden können. Aus forensischer Sicht können Crash-Logs von Vorteil sein, da sie eine Liste der installierten und deinstallierten Apps enthalten. Sobald ein Forensik-Experte einen Crash-Log-Eintrag entdeckt, der von einer App erstellt wurde, die nicht mehr im System vorhanden ist, kann davon ausgegangen werden, dass die App mindestens bis zu dem im Crash-Log-Eintrag angegebenen Datum und Zeitpunkt auf dem Gerät installiert war.

Preise und Verfügbarkeit

Elcomsoft iOS Forensic Toolkit 4.0 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 4.0 ist ab 1.499 EUR zuzüglich Mehrwertsteuer erhältlich. Bestehende Kunden erhalten das Update je nach Lizenzablauf kostenfrei oder mit Rabatt. Die Unterstützung der physischen Erfassung für die verschiedenen iOS-Geräte hängt vom Sperrstatus, dem Jailbreak-Status und der installierten iOS-Version ab. Für einige Geräte, auf denen einige Versionen von iOS ausgeführt werden, ist die logische Erfassung die einzige verfügbare Methode. iOS Forensic Toolkit unterstützt die meisten Geräte mit iOS 7 bis iOS 11.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45365120 / Mobile Security)