Für Strafverfolgungs-Organe
ElcomSoft: Forensik-Software extrahiert iOS-Daten aus iCloud-Konten
Das russische Softwarehaus ElcomSoft beliefert Strafverfolgungsbehörden mit Software-Lösungen, die den Zugriff auf iPhone- und iPad-Modelle erleichtern sollen und sorgte zuletzt mit seinem Blogeintrag über die nachlassende Sicherheit von iOS 11 für Schlagzeilen.
Jetzt haben die Entwickler eine neue Version ihrer zuletzt im vergangenen August auf ifun.de berücksichtigen Forensik-Software Phone Breaker vorgestellt und versprechen, jetzt noch mehr Arten von iOS-Daten aus den iCloud-Konten der Nutzer extrahieren zu können.
Zu den neu verfügbaren Datentypen gehören Benutzer- und Kontoinformationen, WLAN-Accesspoint-Details sowie ausgewählte Daten aus Apple Maps, Wallet und iBooks.
In früheren Versionen von Elcomsoft Phone Breaker konnten bereits viele Arten synchronisierter Daten extrahiert werden, darunter Anruflisten, Safari-Daten (Browserverlauf, geöffnete Tabs und Lesezeichen), Kalender, Notizen und Kontakte. Zusätzlich zu diesen Datentypen kann Elcomsoft Phone Breaker 8.2 jetzt alle folgenden Elemente extrahieren:
- Konto- /Benutzerinformationen, einschließlich der physischen Adresse des Benutzers, der E-Mail-Konten und Telefonnummern;
- WLAN-Informationen einschließlich Zugangspunktnamen, MAC-Adressen und Geräten, die den Zugangspunkt hinzugefügt haben;
- Apple Maps, einschließlich Routen, Suchverläufen und Lesezeichen;
- Wallet: alles, außer Kreditkartendaten;
- iBooks: manuell hinzugefügte Bücher und Dokumente. In iOS ist die iBooks-App häufig der Standard-PDF-Viewer und die einzige Quelle für PDF-Dokumente.
Die Forensik-Software selbst ist jedoch nicht in der Lage ohne Zugangsdaten zu arbeiten. iCloud- bzw. Apple-ID-Authentifizierungsdaten des Benutzers sind für den Zugriff auf iCloud-Daten erforderlich.
Die Macher erklären:
Elcomsoft Phone Breaker kann eine Kombination aus Apple ID und Passwort verwenden. Das Passwort wird durch Verwendung der Zwei-Faktor-Authentifizierung oder mittels eines Authentifizierungs-Tokens, das vom Computer des Benutzers extrahiert wird, generiert. Sobald Authentifizierungs-Token für den Zugriff auf synchronisierte iCloud-Daten verwendet werden, ist weder das Passwort noch der sekundäre Authentifizierungsfaktor erforderlich. Wenn die Authentifizierungs-Token für den Zugriff auf synchronisierte Daten verwendet werden, enthalten diese kein definiertes Ablaufdatum.
Elcomsoft Phone Breaker 8.2 ist sowohl für Windows als auch für macOS verfügbar. Die sogenannte Forensic-Edition für Behörden und Strafverfolgungs-Organe kostet 799 Euro zuzüglich Mehrwertsteuer.
799 € – nicht schlecht. Die gewonnenen Daten könnten je nach Auftrag bedeutend wertvoller sein!
Im Gegensatz dazu ist die monatliche Miete für zusätzlichen iCloud-Speicherplatz, welchen für die ganzen Backups benötigt werde, ein wahres Schnäppchen!
Also immer schön weiter Daten in die (i)Cloud pumpen – irgendjemand wird dafür vielleicht mal sehr dankbar sein!
Oh man…
Mit 2FA wohl völlig wertlos.
Bestimmt!
Mal bitte den Text lesen. Man kann den Token aus dem PC auslesen und braucht dann keine weiteren Daten.
Wofür der Rechner dann aber unverschlüsselt sein müsste ;-)
@max
Genau das ist auch bei den allermeisten Anwendern der Fall. Wer also 2FA nutzt, und die Strafverfolgungsbehörden haben dann einen Keylogger installiert, oder man ließ sich dazu verführen via Mail irgendwelchen Mist auf dem eigenen Rechner zu installieren (kein so derbe unwahrscheinliches Szenario, übrigens):
Dann können allein mit dem Token die iCloud-Daten sehr weit analysiert und dechiffriert werden.
(imho geht in diesem Szenario sogar noch deutlich mehr, z.B. Account-Jacking)
Dazu müsste es aber einen PC geben der mit dem Iphone verbunden war. Mit den icloud Backups wird das aber mehr und mehr aussterben, zumal der Iphone App Store über iTunes ohnehin nicht mehr verfügbar ist. Ich glaube das ist raus geschmissenes Geld. Aber gut, 799 ist für eine Strafverfolgungsbehörde jetzt sicher keine Unsumme.
Wenn ich die Apple-ID / Passwort kennen muss. Was ist der Sinn der Software? Könnte auch einfach das Backup restoren auf einem anderen Gerät. Wo ist mein Denkfehler?
Ich glaube einfach Einfachheit.
Der Fehler liegt im aufmerksam Lesen.
Im ersten Schritt besorgen sich die Behörden den Token entweder vom beschlagnahmten Rechner oder per Trojaner.
Dann können die zu jedem Zeitpunkt später deine iCloud Daten lesen.
Sobald Authentifizierungs-Token für den Zugriff auf synchronisierte iCloud-Daten verwendet werden, ist weder das Passwort noch der sekundäre Authentifizierungsfaktor erforderlich.
Die Forensik-Software selbst ist jedoch nicht in der Lage ohne Zugangsdaten zu arbeiten. iCloud- bzw. Apple-ID-Authentifizierungsdaten des Benutzers sind für den Zugriff auf iCloud-Daten erforderlich.
Na das ist mal eine super Software, ich hau mich weg :)
@jblob hehe ne ich denke du hast es genau verstanden. Ich denke der Sinn sind die 800€ damit wird ja Geld verdient :-)
Wer dafür 800 Euro ausgibt, dem ist auch nicht mehr zu helfen. Gibt ja auch noch eine Home Version für 79. Ist bestimmt eine tolle scam software. Danke für den tollen Bericht.
Die 800€ Version hat eine andere Zielgruppe als die Home Version.