Forensik-Tool von ElcomSoft liest sichere Instant Messaging-App Signal aus
ElcomSoft aktualisiert Elcomsoft Phone Viewer (EPV), ein einfach zu bedienendes forensisches Tool für den schnellen Zugriff auf Informationen aus lokalen und mobilen iOS-Backups. EPV kann ab sofort Chat-Verläufe von "Signal" entschlüsseln und anzeigen; Signal ist eine der weltweit sichersten Messenger-Apps. Darüber hinaus ist EPV in der Lage, lokale iOS-Backup-Passwörter wiederherzustellen, die für die Screen Time-Funktion und zur Beschränkung der Bildschirmzeiten eingerichtet wurden
Selbst wenn die Signal-Datenbank aus dem iPhone-Dateisystem-Image extrahiert wurde, gestaltet sich der Zugriff auf Signal-Daten als äußerst schwierig. Denn Signal verwendet eine benutzerdefinierte Verschlüsselung. Der binäre Verschlüsselungs-Code wird auf hoher Schutzebene im iOS-Schlüsselbund gespeichert.
In seiner aktuellen Version 4.60 ist Elcomsoft Phone Viewer in der Lage, Signal-Datenbanken von iPhones auszulesen. Hierzu muss das Elcomsoft iOS Forensic Toolkit verwendet werden, um eine physische Erfassung am Gerät durchzuführen (Dateisystem und Schlüsselbund). Sobald die Datenbank entschlüsselt ist, können Forensik-Experten per Elcomsoft Phone Viewer auf Konto-Informationen, Anruflisten, Chat-Verläufe und Anhänge des Benutzers zugreifen.
"Signal ist eine unglaublich sichere, plattformübergreifende Instant Messaging-App, und ist mit mittlerweile über einer halben Million Benutzer sehr beliebt", erklärt Vladimir Katalov, CEO von ElcomSoft. "Es ist schwierig, eine Signal-Datenbank zu knacken, denn die Daten werden nicht in der Cloud synchronisiert und selbst bei verschlüsselten lokalen Backups wird die Datenbank nicht angezeigt", so Katalov weiter.
Screen Time-Passwort (iOS 12)
Mit Screen Time können Nutzer ab iOS 12 steuern, wie viel Zeit sie mit ihrem iPhone oder iPad verbringen wollen. iOS 12 verwendet Screen Time ebenfalls, um Privatsphäre-Einstellungen vorzunehmen. Forensik-Experten können nur auf wenige iPhone- oder iPad-Informationen zugreifen, sobald ein Passwort für die Screen Time (Bildschirmzeit) aktiviert ist und Einschränkungen hinsichtlich Privatsphäre und Datenschutz vorgenommen wurden.
Elcomsoft Phone Viewer kann in der aktuellsten Version 4.60 Screen Time-Passwörter anzeigen, wenn diese vorhanden sind. Hierzu extrahiert EPV das Screen Time-Passwort aus dem Schlüsselbund. Ein lokales (iTunes-)Backup mit einem bekannten Passwort wird hierzu benötigt.
Einschränkungs-Codes (iOS 7 bis iOS 11)
Ältere iOS-Versionen hashen Einschränkungs-Codes mit einem starken pbkdf2-hmac-sha1-Algorithmus. Obwohl eine Vielzahl mehrfacher Wiederholungen (Iterationen) zum Schutz des Hashs verwendet wird, kann Elcomsoft Phone Viewer einen Brute-Force-Angriff auf das Kennwort durchführen, wenn das iCloud-Backup geöffnet ist. Möglich ist dies, aufgrund der festen Länge von nur vier Passwort-Ziffern. Sobald EPV die Sicherung vollständig lädt, ist der Einschränkungs-Code vollständig wiederhergestellt.
Zur Wiederherstellung des Einschränkungs-Codes wird Folgendes benötigt: ein lokales Backup (iTunes) ohne Passwort oder mit einem bekannten Passwort, oder ein Cloud-Backup. Einschränkungs-Codes können ebenfalls aus dem iOS-Dateisystem-Image extrahiert werden (physische Erfassung).