2018-11-30 08:08:40

Forensik-Tool mit Zugriff auf iMessage-Anhänge

ElcomSoft aktualisiert Elcomsoft Phone Breaker (EPV), ein Tool zur Extraktion von forensisch relevanten Daten aus Offline- und Online Backups von Apple-, BlackBerry- und Windows Phone-Geräten.

Zusätzlich zur Möglichkeit, Nachrichten aus der iCloud zu extrahieren, kann EPV in Version 8.40 erstmals per Remote-Zugriff auf Nicht-Text-Inhalte wie angehängte Medien, Dokumente und andere in der Apple iCloud gespeicherte Daten zugreifen. Elcomsoft Phone Breaker ist damit das erste forensische Tool auf dem Markt, mit dem solche Beweise aus der iCloud extrahiert werden können. Elcomsoft Phone Viewer, ein ElcomSoft-Tool zur einfachen Darstellung forensischer Beweise, erhielt ebenfalls ein Update, das die neuen Datenkategorien unterstützt.

Ein Hauptproblem für Forensiker ist die Aktivierung der Nachrichten-Synchronisierung durch den Benutzer. Dies hat folgenden Hintergrund: iMessages können mit der iCloud synchronisiert werden. Das ist zum Beispiel mit iPhones, die mit iOS 11.4 und allen Versionen von iOS 12 laufen, möglich. Wenn diese Synchronisierung aktiviert ist, stehen somit Nachrichten in iCloud-Sicherungen nicht mehr zur Verfügung

Vladimir Katalov, CEO von ElcomSoft, erklärt: "Der iCloud-Synchronisationsmechanismus ist von den iCloud-Systemsicherungen getrennt zu betrachten, er funktioniert zusätzlich. Im Gegensatz zu iCloud-Sicherungen, die täglich ausgeführt werden, werden die Konversationen von iMessage schneller synchronisiert. Wenn das Gerät über eine Internetverbindung verfügt, werden die Unterhaltungen mit geringer Verzögerung in der Cloud aktualisiert. Auf diese Weise können Elcomsoft Phone Breaker-Benutzer nahezu in Echtzeit auf Nachrichten, angehängte Medien und Dateien zugreifen, die vom Benutzer gesendet und empfangen werden."

Zugriff auf Anhänge – unabhängig von iCloud

Während mit früheren Versionen von Elcomsoft Phone Breaker ausschließlich auf Nachrichten zugegriffen werden konnte, die in der Apple iCloud synchronisiert wurden, unterstützt die neue Version nun auch Nicht-Text-Inhalte in iMessage-Anhängen. Das bedeutet, dass trotz iCloud-Synchronisierung auf Anhänge zugegriffen werden kann.

Inhalte aus Anhängen können bei polizeilichen oder behördlichen Ermittlungen entscheidende Beweise liefern. Bei vielen iMessage-Anhängen handelt es sich um Bilder, die mit dem iPhone aufgenommen wurden. Daher kann die Analyse von EXIF-Daten Aufschluss über den Standort der Benutzer geben.

Die Medien-Dateien aus iMessage-Anhängen können mit dem ebenfalls aktualisierten Elcomsoft Phone Viewer in der Vorschau angezeigt und gespeichert werden.

E2EE erschwert Zugriff 

Da iMessage-Nachrichten und -Anhänge Ende-zu-Ende (E2EE) verschlüsselt sind und der Schlüssel vom Benutzer-Passwort abgeleitet ist, kann der Zugriff nicht ohne das Benutzer-Passwort erfolgen. Auch Apple kann nicht ohne Weiteres auf in der iCloud gespeicherte Nachrichten zugreifen, denn weder die Textinhalte noch die Anhänge von iMessages können im Rahmen einer DSGVO-Anfrage übermittelt werden.

Um per Elcomsoft Phone Viewer auf die iMessages und deren Anhänge zugreifen zu können, benötigt man entweder das korrekte Geräte-Kennwort (iPhone oder iPad) oder das System-Passwort (Mac) für eines der bereits in der Synchronisierung registrierten Geräte, das zusätzlich zum iCloud/Apple ID-Login und -Passwort verwendet wird.

„An iMessage-Nachrichten heranzukommen ist eine große Herausforderung, doch gerade sie können forensisch äußerst relevant sein. Demgegenüber steht die Ende-zu-Ende-Verschlüsselung. Sie schützt Nachrichten und angehängte Inhalte vor Angriffen, während ihre Cloud-Kopien durch branchenübliche Verschlüsselungs-Mechanismen sicher geschützt sind. Wir bieten jetzt eine Lösung an, mit der man Mediendateien, Dokumenten und anderen Datenkategorien, die per iMessage gesendet oder empfangen werden, entschlüsseln und extrahieren kann", sagt Vladimir Katalov, CEO von ElcomSoft.

Preise und Verfügbarkeit

Elcomsoft Phone Breaker 8.40 ist sowohl für Windows als auch für Mac OS verfügbar und wird in den Editionen Home, Professional und Forensic angeboten. Die iCloud Recovery-Unterstützung ist nur in den Editionen Professional und Forensic verfügbar, während der Password-freie iCloud-Zugriff sowie die Möglichkeit zum Herunterladen beliebiger Informationen von iCloud und iCloud Drive nur in der Forensic-Edition verfügbar sind. Die Zwei-Faktor-Authentifizierung ist in allen Editionen verfügbar.

Elcomsoft Phone Breaker Pro ist für 199 EUR zuzüglich Mehrwertsteuer erhältlich, während die Forensic-Edition, die Over-the-Air-Zugriff auf iCloud-Daten und Unterstützung für binäre Authentifizierungs-Token bietet, für 799 EUR zuzüglich Mehrwertsteuer erworben werden kann. Die Home-Edition ist für 79 EUR zuzüglich Mehrwertsteuer verfügbar. Lokale Preise können variieren.

Das Update ist kostenlos für alle Kunden, die ihre Lizenz für Elcomsoft Phone Breaker oder Elcomsoft Mobile Forensic Bundle innerhalb eines Jahres erworben oder erneuert haben. Kunden, deren Wartungsplan bereits abgelaufen ist, können eine vergünstigte Verlängerung erwerben.

Systemanforderungen

Elcomsoft Phone Breaker 8.40 läuft unter Windows 7, 8, 8.1 und Windows 10 sowie den Server-Betriebssystemen Windows 2008, 2012 und 2016 Server. Die Mac-Version läuft unter Mac OS X 10.7 und neuer. Elcomsoft Phone Breaker funktioniert ohne die Installation von iTunes oder BlackBerry Link. Um Zugriff auf den iCloud-Schlüsselbund zu erhalten, benötigen Windows-Nutzer die iCloud für Windows, während Mac-Nutzer macOS 10.11 oder höher benötigen.

log

Druckversion