iOS 26 představuje několik nových forenzních artefaktů a aktualizací stávajících, o nichž si musí digitální forenzní vyšetřovatelé při analýze zařízení a záloh uvědomit. Tyto artefakty poskytují klíčové vhled do aktivity uživatelů, systémových událostí, komunikace a dalších, ale také přicházejí se složitostí souvisejícími se strukturami dat operačního systému a politiky udržení.
Přehled forenzních artefaktů iOS 26
Leap z iOS 18 na iOS 26 přinesl významné změny v architektuře systému, uživatelské zkušenosti a jak jsou data spravována a ukládána. To zahrnuje přepracované systémy zasílání zpráv, nové funkce AI a celkovou změnu UX s názvem Liquid Glass. Tyto změny ovlivňují umístění dat, formát a přístupnost pro forenzní účely.
Nové a aktualizované artefakty zpráv
iOS 26 vylepšuje systém zasílání zpráv, udržuje složité vlákna zpráv a různé typy obsahu. Specialisté na forenzníci identifikovali:
- Kontext rozšířených metadat a zpráv uložený ve strukturovaných formátech, které drží více podrobností o doručování zpráv, stavu čtení a účastnících vlákna.
- Duchové záznamy nebo zbytky smazaných zpráv a vláken chatu. Mohou zahrnovat stopy konverzací, které uživatelé odstranili ze svých zařízení, ale mohou mít stále přetrvávající metadata nebo zbytková data v systémových protokolech nebo zálohách.
- Zásady uchovávání zpráv mají kritický účinek. Od iOS 8 mohou uživatelé nastavit uchování zpráv na 30 dní, 1 rok nebo navždy. Změna nastavení retence ovlivňuje přítomnost nebo nepřítomnost těl zpráv a souvisejících metadat na zařízeních a v zálohách iCloud.
- Důkazy smazané zprávy mohou být stále přítomny v zálohách nebo prostřednictvím protokolů systému, což umožňuje částečnou rekonstrukci předchozí komunikace.
Záložní artefakty a výzvy
iOS 26 se stále silně spoléhá na zálohy iTunes (buď šifrované nebo nešifrované) pro extrakci forenzních dat:
- Šifrované zálohy nabízejí přístup k více kategoriím dat, jako jsou protokoly hovorů, údaje o zdraví Apple a historie prohlížeče.
- Šifrovací hesla mohou vyžadovat praskání, i když od iOS 11 resetování záložního hesla je možné pomocí akce resetovat všechna nastavení, která propadne některá nastavení.
- Apple implementoval automatizované vysávání databáze SQLite během zálohování, což ovlivňuje to, jak lze odstranit nebo zbytková data obnovit ze záložních databází.
- Zálohy mohou zahrnovat artefakty týkající se uživatelských aplikací, které sdílejí dokumenty a multimediální soubory.
Systémové a protokolové artefakty
Protokoly systému a diagnostické soubory v iOS 26 se staly životně důležitými zdroji forenzních dat:
- Sjednocené protokoly zavedené od iOS 10 jsou nyní ještě komplexnější a poskytují podrobné systémové a aplikační činnosti, včetně bezpečnostních událostí, pokusů o autentizaci a interakcí uživatelů.
- SysDiagnose soubory archiv příkazů a systémová data pro hloubkovou analýzu.
- Live Syslog zachycuje události zařízení v reálném čase, dokud není přerušena protokolování, užitečné pro korelační události.
- Protokoly havárií nemusí obsahovat uživatelská data, ale pomáhat porozumět časovým osy provádění aplikací a detekovat aktivitu malwaru.
AI a zpravodajské funkce
iOS 26 zahrnuje funkce řízené AI, které ponechávají nové metadaty stopy a artefakty:
- Použití AI při sledování zpráv a chování uživatelů generuje další metadata o interakcích a kontextu, které se mohou objevit v aplikačních databázích.
- Apple Intelligence Frameworks ukládají stopy aktivit AI-Assistovaných nad rámec typických komunikačních datových bodů.
Fyzické a logické úvahy o extrakci
Nástroje pro extrakci forenzních dat, jako je Magnet Graykey a Verakey, byly aktualizovány na podporu iOS 26, což zajišťuje, že vyšetřovatelé mají plynule přístup k nejnovějším zařízením a verzím. Kritické body extrakce zahrnují:
- AFC (Apple File Connection) Servisní cesty jako `/Private/VAR/Mobile/Media/` obsahující uživatelské multimédia a data aplikace.
- Služba uzamčení poskytující informace o zařízení (název, verze iOS, identifikátory).
- Sdílené složky Aplikace pro data specifická pro aplikaci.
- Logické extrakce prostřednictvím záloh iTunes nebo AFC přístup k souborům na úrovni uživatele.
Forenzní důsledky retence a vymazání
Jednou významnou výzvou v forenzii iOS je nastavení zadržování dat:
- Když je uchovávání zpráv nastaveno na něco jiného než navždy, „Starší data zpráv jsou systematicky odstraněna z zařízení i iCloud, což snižuje dostupné forenzní důkazy.
- Záznamy duchů označují stín smazaných nebo změněných dat a mohou poukazovat na pokusy zabýt nebo zničit důkazy.
- Vyšetřovatelům se doporučuje zkontrolovat dostupnost zálohování, protože zálohy mohou mít rozsáhlejší historická data navzdory delecím samotného zařízení.
Shrnutí klíčových artefaktů podle kategorie
- Zprávy: Vylepšená metadata zpráv, zbytky duchové zprávy, metadata AI.
- Zálohy: šifrované/nešifrované zálohy iTunes; Dopady na vysávání databáze.
- Protokoly: Sjednocené protokoly systému, soubory sysDiagnose, protokoly havárie, živé syslogy.
- Uživatelská data: Multimediální soubory, sdílené dokumenty aplikace.
- Informace o systému: Výstupy služby Lockdown Service včetně identifikátorů zařízení.
- Funkce AI: Nová kontextová metadata z používání AI.
Tyto artefakty odhalují komunikaci uživatelů, interakce zařízení, systémové události a poskytují trasovací cesty pro vyšetřování zahrnující trestní případy, incidenty v oblasti kybernetické bezpečnosti a firemní dotazy týkající se zařízení iOS 26. Porozumění a správné extrahování těchto artefaktů vyžaduje aktualizované forenzní nástroje a pozornost na vyvíjející se strukturu, kterou Apple používá v iOS 26.
Odkazy na tyto aktualizace pocházejí z nedávných příspěvků forenzních odborníků a organizací, jako jsou Magnet Forensics, N1 Discovery a Hexordia, kteří provedli rozsáhlý výzkum a sdíleli zjištění o technikách a artefaktech iOS 26.