ElcomSoft umgeht Apples Secure Enclave-Schutz und greift auf iOS-Schlüsselbund zu

ElcomSoft aktualisiert das iOS Forensic Toolkit (EIFT), ein mobiles, forensisches Tool zur Datenextraktion aus iPhones, iPads und iPod Touch-Geräten. Das Tool wurde mit Version 4.0 generalüberholt und es kann nun Elemente von 64-Bit-iOS-Geräten aus dem iOS-Schlüsselbund extrahieren und entschlüsseln, wodurch der sichere Secure Enclave-Schutz auf Geräten mit oder ohne Jailbreak erfolgreich umgangen wird. Version 4.0 legt zudem einen stärkeren Fokus auf neuere iOS-Geräte und überdies wird der Support für die älteren Apple-Geräte weitgehend eingestellt. Darüber hinaus kann nun auf iOS-Crash-Logs zugegriffen werden.

iOS Forensic Toolkit 4.0 bietet die Möglichkeit, während der physischen Erfassung Schlüsselbund-Elemente zu extrahieren und zu entschlüsseln. Dabei wird der gesamte Inhalt des Schlüsselbunds entschlüsselt, einschließlich Datensätzen, die mit dem ‚ThisDevice-Only‘-Attribut gesichert sind. Dadurch können wichtige Informationen wie beispielsweise Authentifizierungstoken extrahiert werden. Dies wiederum ermöglicht es Forensikern, auf alle Social Media- und Messer-Konten zuzugreifen, die jemals auf dem Gerät verwendet wurden. Das Tool verhindert zudem die Aktivierung der automatischen Bildschirmsperre des iOS-Geräts während die Daten-Extraktion läuft. Damit wird sichergestellt, dass auch jene Datensätze mit den stärksten Sicherheitsattributen erfolgreich extrahiert und entschlüsselt werden.

Der iOS-Schlüsselbund ist eine Lösung von Apple, um Passwörter, Schlüssel, Authentifizierungstoken, Zertifikate, Zahlungsdaten und anwendungsspezifische Anmelde-Informationen sicher zu speichern. Während einige Schlüsselbund-Elemente durch die Analyse einer kennwortgeschützten lokalen Sicherung wiederhergestellt werden können, lassen sich mit dem Attribut ‚ThisDeviceOnly‘-geschützte Datensätze nur auf dem Gerät selbst entschlüsseln.

Der Schlüsselbund ist sicher mit einem hardwarespezifischen Schlüssel verschlüsselt. In 64-Bit-Hardware (iPhone 5s und alle neueren iOS-Geräte) ist dieser Schlüssel zusätzlich mit Secure Enclave geschützt.

„Jailbreak oder nicht, die Umgehung der Secure Enclave Schutz galt lange als unmöglich. Mit der neusten Version des iOS Forensic Toolkit können nun Schlüsselbund-Elemente von 64-Bit-iOS-Geräten mit Secure Enclave extrahiert und entschlüsselt werden“, sagt Vladimir Katalov, CEO von ElcomSoft.

Elcomsoft iOS Forensic Toolkit 4.0 ist ab sofort für Windows und Mac OS X verfügbar. Bei einer Bestellung werden beide Versionen mitgeliefert. EIFT 4.0 ist ab 1.499 EUR zuzüglich Mehrwertsteuer erhältlich. Bestehende Kunden erhalten das Update je nach Lizenzablauf kostenfrei oder mit Rabatt.

Weitere Informationen: www.elcomsoft.de