Zugriff auf iCloudDrive-Daten & System-Backups


"Elcomsoft Phone Breaker 5.0" greift auf iCloud-Daten von iOS 9-Geräten zu
Forensik-Software liest Daten und Passwörter aus

(26.11.15) - Mit der Präsentation von "Elcomsoft Phone Breaker 5.0" (EPB) reagiert das russische IT-Forensik-Unternehmen auf die neuesten Entwicklungen aus dem Hause Apple. Eine Unterstützung von iOS 9 ist jedoch nicht die einzige Neuerung, die die aktuelle Version mit sich bringt. Denn Apple änderte auch einiges an der Architektur seiner Cloud-Speicher. Zum einen wurden Verschlüsselungsstandards geändert, für die der EPB angepasst werden musste, zum anderen wurde die iCloud mittlerweile vollständig in iCloudDrive migriert. Hinzu kommt, dass mit iOS 9 auch das Sicherheitssystem 'Rootless' und das ATS-Protokoll eingeführt wurden, wodurch neue Hürden für Ermittler aufgebaut wurden.

Die zentrale Funktion, das Auslesen von Daten aus iCloud beziehungsweise iCloudDrive, ist ab sofort auch bei iOS 9-Geräten möglich. Wie bei den vorangegangenen Versionen des EPB, stehen dem Ermittler für einen Zugriff auf die Cloud Computing-Daten mehrere Wege offen. Eine Möglichkeit ist es, sich mit Apple ID und Passwort zu legitimieren und sich so die Cloud-Daten herunterzuladen. Auch wenn das nach dem Weg durch die Vordertür klingt, ist es ermittlungstechnisch interessant, da selbst der auf iCloudDrive eingeloggte Apple-Nutzer die mit EPB gewonnenen Backup-Daten nicht einsehen kann.

Insbesondere für stille Ermittlungen relevant ist aber der Zugriff auf iCloudDrive mittels Authentifizierungstoken. Elcomsoft Phone Breaker kann auf Zweitgeräten, wie einem Desktop-Rechner Authentifizierungstoken auslesen, mit denen sich dort bestimmte Programme wie das iCloud Control Panel auf iCloudDrive einloggen können. Legitimiert sich der Ermittler mittels solcher Token gegenüber iCloudDrive, bietet ihm das mehrere Vorteile. Einerseits muss er Apple ID und Passwort nicht mehr in Erfahrung bringen und andererseits kann mit dem Token die Zwei-Faktor-Authentifizierung umgangen werden. Auch ein SMS-Alarm, mit dem Apple Kunden über Zugriff auf Cloud-Daten informiert wird bei Token-Zugriff nicht versandt.

Änderungen bei iCloud, iCloudDrive und iOS
Die bekannteste Neuerung dürfte sein, dass iCloud nun vollständig Teil von iCloudDrive geworden ist. Persönliche Daten in der Cloud wie Dokumente, Bilder, Videos und Musik liegen nun neben App-Daten und den kompletten iOS-Backups nebeneinander auf dem iCloudDrive. Allerdings bedeutet das nicht, dass Apple-Nutzer mit Zugriff auf iCloudDrive nun auch Zugriff auf die Daten haben, die bislang in der iCloud gespeichert waren. Das iCloud Control Panel erlaubt nach wie vor lediglich den Zugriff auf die selbst hochgeladenen Dateien. Backups bleiben unzugänglich. Genau deshalb sind für Ermittler Programme wie Elcomsoft Phone Breaker wichtig, weil es mit Ihnen möglich ist, diese Backups downzuloaden und zu entschlüsseln.

Die zweite große Neuerung ist das ATS-Protokoll (App Transport Security), das von Apple mit iOS9 eingeführt wurde. Traffic Sniffing und Man-in-the-Middle-Angriffe sollen damit ausgeschlossen werden. Gerade für Ermittlungsbehörden ist dies ein herber Rückschlag. War es bislang möglich, mit Hilfe von Dienste-Anbietern und Mobilfunkbetreibern die Aktivitäte der den Förster zu Tode in der n des betreffenden Geräts lauschend zu verfolgen, wurde dem nun weitgehend ein Riegel vorgeschoben. Der Zugriff auf ein ständig sich aktualisierendes Online-Backup des Betriebssystems, in dem fast alle relevanten Daten vorgehalten werden, wurde so noch wichtiger.

Rootless verhindert Jailbreaks
Seit iPhone 5S respektive iPad mini Retina sind Jailbreaks nur sehr schwierig zu realisieren. Während die früheren 32 Bit-Geräte noch sehr leicht zu knacken waren, wird dies heute deutlich erschwert. Man mag es als Nutzungseinschränkung oder als Sicherheitsfeature verstehen; Fakt ist, dass spätestens mit Rootless die Möglichkeiten, physisch auf ein iPhone zuzugreifen stark gesunken sind. Online-Zugriffe mittels Login-Informationen oder aber Zugriff auf lokal vorliegende verschlüsselte Backup-Dateien, die mit den richtigen Passwörtern entschlüsselt werden können, bleiben daher vorerst das Mittel der Wahl.

iCloud und iCloudDrive - Auslesen unterschiedlicher Daten und Passwörter
Ein Backup aller Daten des iPhone oder iPad in der Cloud bringt dem Nutzer in Hinblick auf Ausfallsicherheit einige Vorteile. Bei Diebstahl oder Defekt können alle Daten lückenlos auf einem neuen Gerät wiederhergestellt werden. Es wundert daher nicht, dass dieses Feature von sehr vielen Nutzern in Anspruch genommen wird. Neuere Versionen von iOS aktivieren diese Form des Backup daher per Default. Aber genau diese umfassende Sammlung von Daten macht das Backup für Ermittler interessant. Nicht nur finden sich Adressbücher und Anrufprotokolle in den Cloud-Daten. Dort liegen auch App-Daten wie Browser-History und nicht zuletzt eine Vielzahl auf dem Gerät gespeicherter Passwörter, die es Ermittlern erlauben, sich im Anschluss Zugriff zu anderen Diensten der betreffenden Person zu verschaffen.

Elcomsoft Phone Breaker - Mehr als nur Zugriff
Gelingt der Zugriff auf die iOS-Backups, ist damit die Arbeit aber noch nicht getan. Als forensisches Werkzeug bietet der EPB vor allem Möglichkeiten aus einmal gewonnen Backups die Daten schnell und übersichtlich auszulesen. Die Struktur der Backups zu verstehen ist nicht einfach; wichtige Daten zu finden für Laien nur schwer möglich. Kommt durch laufende Ermittlungen bedingt dann noch Zeitdruck hinzu, so machen der mitgelieferte Dateiexplorer, übersichtliche Darstellungen von Anrufprotokollen, die Browser-History und Apple-Schlüsselbunde den EPB zu einer vollwertigen Analyse-Software. (ElcomSoft: ra)

Elcomsoft: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Equipment

  • Migration in die Cloud bereit

    Qlik, Anbieterin von Datenintegration, Datenqualität, Analytik und KI, gibt die Akquisition der "Qloud-Cover"-Migrationstechnologie von Stretch Connect bekannt - einem langjährigen "Qlik Elite Solution Provider". Die automatisierte Lösung, künftig unter dem Namen "Qlik Analytics Migration Tool! verfügbar, beseitigt die Komplexität der Migration von "QlikView", "Qlik Sense" und" NPrinting" hin zu "Qlik Cloud".

  • Cloud-Infrastructure-Entitlements-Management

    ManageEngine, eine Geschäftssparte der Zoho Corporation, erweitert ihre Privileged-Access-Management(PAM)-Plattform PAM360. Die PAM-Lösung bietet ab sofort KI-gestützte Verbesserungen, darunter einen intelligenten Least-Privilege-Zugriff und Empfehlungen für Richtlinien zur Risikominimierung.

  • Analytics-Portfolio für AWS-Dienste

    Informatica, ein führendes Unternehmen im Bereich KI-gestütztes Enterprise Cloud Data Management, hat neue Rezepte zur Entwicklung von KI-Agenten vorgestellt, die mit Amazon Bedrock erstellt wurden. Dieser Service ermöglicht es gemeinsamen Kunden, intelligente KI-Agenten-Workflows mit vertrauenswürdigen Daten und No-Code-Bedienkomfort zu erstellen, verbinden, verwalten und orchestrieren.

  • Supermicro" MicroCloud Multi-Node"-Lösung

    Supermicro, Anbieterin von IT-Gesamtlösungen für KI, Cloud, Storage und 5G/Edge, gibt bekannt, dass eine Reihe von Supermicro-Servern jetzt mit der neuesten Ergänzung der AMD-basierten CPUS der EPYC 4000-Serie, den AMD EPYC 4005-Prozessoren, ausgeliefert werden.

  • Entwicklung moderner Datenarchitekturen

    Qlik, Anbieterin von Datenintegration, Datenqualität, Analyse und KI, hat "Qlik Open Lakehouse" vorgestellt. Qlik Open Lakehouse richtet sich an Unternehmen, die unter dem Druck stehen, schneller zu skalieren und Kosten zu senken. Die vollständig verwaltete Apache-Iceberg-Lösung ist nahtlos in die Qlik Talend Cloud integriert und ermöglicht Echtzeit-Datenaufnahme, automatisierte Optimierung und Multi-Engine-Interoperabilität - ganz ohne Herstellerbindung oder operativen Mehraufwand. Dies ist ein entscheidender Schritt in der Entwicklung moderner Datenarchitekturen.

  • Nachfrage aus dem SAP-Ökosystem

    IFS, Anbieterin von Cloud-Enterprise-Software und industriellen KI-Anwendungen, hat auf der IFS Connect DACH in Düsseldorf einen neuen Migrations-Accelerator-Service vorgestellt. Er ermöglicht es SAP-Anwenderunternehmen, nahtlos und schnell auf "IFS Cloud" umzusteigen und von fortschrittlichen Lösungen für Szenario-Modellierung, Risikomanagement und industrielle KI zu profitieren. Mit der Einführung des Accelerators reagiert IFS auf die Nachfrage aus dem SAP-Ökosystem.

  • Hochskalierbare, leistungsfähige Infrastruktur

    Dell Technologies und Nutanix haben ihre Zusammenarbeit ausgebaut und präsentieren nun das Ergebnis: die "Dell PowerFlex with Nutanix Cloud Platform". Die leistungsstarke Infrastruktur-Lösung für geschäftskritische Umgebungen, in denen Resilienz, Skalierbarkeit, Sicherheit und Performance essenziell sind, ist ab sofort verfügbar.

  • Mit Fokus auf Cyberresilienz

    Commvault hat ihr "Cleanroom Recovery" um wichtige Funktionen erweitert und bietet so eine vereinfachte, vollständige und neuartige Ende-zu-Ende-Wiederherstellung nach Cyberangriffen. Eine neue Factory-Reset-Funktion für Datenbanken, Applikationen und Betriebssystemen ist ab sofort verfügbar.

  • DLP als API-Service

    Netskope, Unternehmen für moderne Sicherheit und Netzwerke, gab den Launch von "Netskope One DLP On Demand" bekannt, der neuesten Komponente des einheitlichen "Netskope One Data Security Service". Netskope One DLP On Demand ermöglicht neue Datenschutz-Integrationen für Technologiepartner des Unternehmens, On-Premises-Support für Kunden und entscheidende Verbesserungen zur weiteren Vereinheitlichung der Datensicherheitsfunktionen.

  • Kostenfreie Migration in die Cloud

    Syntax, global agierende IT-Dienstleisterin und Managed Cloud Provider, bietet Unternehmen mit FreeMigration+ eine schnelle Möglichkeit zum Umstieg von SAP ECC auf die SAP S/4HANA Cloud Private Edition. Syntax FreeMigration+ ist der kostenlose, risikoarme Migrationspfad in die Cloud, der Syntax Advisory und KI-Implementierungsservices kombiniert.

"Google for Work"-Produkte gefahrenfrei nutzen Basis für das "Internet of Everything"

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen