Elcomsoft Phone Viewer (EPV) kann ab sofort lokale iOS-Backup-Passwörter wiederherstellen, die für die Screen Time-Funktion und zur Beschränkung der Bildschirmzeiten eingerichtet wurden. Darüber hinaus entschlüsselt und zeigt EPV 4.60 den "Signal"-Chat-Verlauf an; Signal ist eine der weltweit sichersten Messenger-Apps.

Die Aktualisierung 4.60 von Elcomsoft Phone Viewer beinhaltet zwei wesentliche Funktionen: Zum einen kann das Tool jetzt den mit iOS 7.11 eingeführten Einschränkungs-Code wiederherstellen. Zum anderen können Screen Time-Passwörter (ab iOS 12) angezeigt werden, wenn lokale iOS-Backups analysiert werden. Darüber hinaus unterstützt EPV nun Signal, einer der weltweit sichersten Messanger-Apps. Damit können Experten den Signal-Chat-Verlauf durch Erfassung des iOS-Dateisystems entschlüsseln und analysieren.

Passwörter für Einschränkungs-Codes (iOS 7 bis iOS 11)

Ältere iOS-Versionen hashen Einschränkungs-Codes mit einem starken pbkdf2-hmac-sha1-Algorithmus. Obwohl eine Vielzahl mehrfacher Wiederholungen (Iterationen) zum Schutz des Hashs verwendet wird, kann Elcomsoft Phone Viewer einen Brute-Force-Angriff auf das Kennwort durchführen, wenn das iCloud-Backup geöffnet ist. Möglich ist dies, aufgrund der festen Länge von nur vier Passwort-Ziffern. Sobald EPV die Sicherung vollständig lädt, ist der Einschränkung-Code vollständig wiederhergestellt.

Folgendes wird benötigt: ein lokales Backup (iTunes) ohne Passwort oder mit einem bekannten Passwort, oder ein Cloud-Backup. Einschränkungs-Codes können ebenfalls aus dem iOS-Dateisystem-Image extrahiert werden (physische Erfassung).

Screen Time-Passwort (iOS 12)

iOS 12 verwendet den iOS-Schlüsselbund, um das ursprüngliche Screen Time-Passwort in einem nicht verknüpftem Datensatz zu speichern. EPV 4.60 extrahiert das Screen Time-Passwort aus dem Schlüsselbund.

Folgendes wird benötigt: ein lokales (iTunes-)Backup mit einem bekannten Passwort.

Signal-Messenger

Signal ist eine der sichersten Instant Messaging-Apps. Gesprächsverläufe von Signal werden weder in der iCloud noch in iTunes gespeichert; es findet keine cloudbasierte Synchronisation statt. Es ist möglich, die Arbeits-Datenbank aus einem Dateisystem-Image zu extrahieren, welches durch physische Erfassung erhalten wurde. Der Chat-Verlauf (ausgenommen Anhänge) wird jedoch mit einem benutzerdefinierten Algorithmus und einem zufälligen Verschlüsselungs-Code sicher verschlüsselt. Der Verschlüsselungs-Code selbst ist mit dem Attribut "nur dieses Gerät" geschützt. Er kann nur durch physische Erfassung aus dem iOS-Schlüsselbund extrahiert werden.

EPV ist in der Lage, den Schlüssel zu extrahieren und eine funktionierende Signal-Datenbank wiederherzustellen. Hierzu muss das Elcomsoft iOS Forensic Toolkit verwendet werden, um eine physische Erfassung am Gerät durchzuführen (Dateisystem und Schlüsselbund).

Sobald die Datenbank entschlüsselt ist, bietet EPV 4.60 Experten dZugriff auf die Konto-Informationen, Anruflisten, Konversationen und Anhänge des Benutzers.

Versionshinweise:

• Wiederherstellung von Einschränkungs-Codes (iOS 7 bis 11)
• Anzeigen von Screen Time-Passwörtern (iOS 12).
• Chat-Verläufe von Signal können nun extrahiert und analysiert werden
• Verbesserte Backup-Öffnungszeit dank der Möglichkeit, relevante Daten-Kategorien im Voraus auszuwählen (für lokale und Cloud-Backups, Dateisystem-Images).
• Kompatibilität mit macOS 10.15 Catalina