Das Elcomsoft iOS Forensic Toolkit (EIFT) wurde auf Version 5.21 aktualisiert. Es ist nun in der Lage, den iOS-Schlüsselbund aus gesperrten und deaktivierten Geräten zu extrahieren. Eine Before-First-Unlock (BFU)-Extraktion ist auf ausgewählten Apple-Geräten über den checkra1n-Jailbreak verfügbar.

Das Elcomsoft iOS Forensic Toolkit wurde auf Version 5.21 aktualisiert. Es unterstützt nun die Extraktion des iOS-Schlüsselbunds von gesperrten und deaktivierten Geräten, die nach einem Neustart 'unlocked' oder nicht 'unlocked' wurden. Die Fähigkeit, den Schlüsselbund von BFU-Geräten (vor der ersten Freischaltung) zu extrahieren, ist für Apple-Geräte verfügbar, die mit SoC der Generationen A7 bis A11 gebaut wurden. iOS Forensic Toolkit nutzt den 'Checkra1n'-Jailbreak, um den Schlüsselbund von BFU-Geräten zu extrahieren und zu entschlüsseln. Während die Anzahl der vor der ersten Freischaltung verfügbaren Schlüsselbund-Elemente begrenzt ist, ist EIFT 5.21 nun in der Lage, auf verschiedene E-Mail- und Account-Passwörter zuzugreifen.

Die unterstützten Geräte reichen vom iPhone 5s bis hin zum iPhone 8, 8 Plus und dem iPhone X. Unterstützt werden auch Apple iPad-Geräte, die auf den entsprechenden CPUs laufen; darunter Modelle vom iPad mini 2 bis hin zum iPad 2018, iPad 10.2, iPad Pro 12.9 (1.Gen) und iPad Pro 10.5. Darüber hinaus unterstützt das iOS Forensic Toolkit 5.20 Apple TV HD (ATV4) und Apple TV 4K.

Das iOS Forensic Toolkit 5.21 der physischen Erfassung, die in der vorherigen Version hinzugefügt wurde, erweitert es um ein wichtiges Extra: Die Extraktion ist für alle unterstützten Apple-Geräte möglich, unabhängig von der ausgeführten iOS-Version. Dies liegt an der speziellen Natur des Exploits in 'Checkra1n'; dieser ist Hardware-unabhängig.

Die Extraktion des iOS-Schlüsselbunds erfordert die Installation eines Jailbreaks. Der checkra1n-Jailbreak basiert auf einer hardwaregebundenen, nicht behebbaren Sicherheitslücke, die in allen Apple-Geräten mit einem Apple SoC der Generationen A7, A8, A9, A10 oder A11 entdeckt wurde. Der checkra1n-Jailbreak kann auf gesperrten Geräten im DFU-Modus installiert werden. Dies ist unabhängig davon, ob der Experte das Passwort für die Bildschirmsperre kennt oder nicht.

Außerdem haben wir die Namensgebungen für die Dateisystem-Image- und Keychain-TAR-Dateien geändert. Während wir diese Dateien bisher 'user.tar' und 'keychaindump.tar' genannt haben, waren diese Namen mehrdeutig und wurden bei späteren Geräte-Erfassungen zu leicht überschrieben. In dieser Version haben wir die Namensgebungen geändert und den beiden Dateien eindeutige Namen gegeben. Die Dateisystem-Images heißen jetzt 'UDID_timestamp.tar', während die Keychain-Dumps 'keychain_UDID_timestamp.xml' heißen. Die eindeutige Geräte-ID und der Zeitstempel machen extrahierte Dateisystem-Images und Keychain-Dumps leichter archivierbar.

Versionshinweise:

• BFU (vor der ersten Freischaltung), Schlüsselbund-Extraktion und Entschlüsselung für ausgewählte Apple-Geräte, die vom checkra1n-Jjailbreak unterstützt werden (bis einschließlich iOS 13.3)
• UX-Verbesserung: Eindeutige Dateinamen für Dateisystem- und Schlüsselbund-Dumps (UDID_timestamp.tar bzw. keychain_UDID_timestamp.xml)