Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Artefacts médico-légaux laissés par iOS 26 mises à jour et sauvegardes


Artefacts médico-légaux laissés par iOS 26 mises à jour et sauvegardes


IOS 26 présente plusieurs nouveaux artefacts médico-légaux et mises à jour de celles existantes que les enquêteurs médico-légaux numériques doivent être conscients lors de l'analyse des appareils et des sauvegardes. Ces artefacts fournissent des informations clés sur l'activité des utilisateurs, les événements système, les communications, etc., mais sont également livrés avec des complexités liées aux structures de données du système d'exploitation et aux politiques de rétention.

Aperçu des artefacts médico-légaux iOS 26

Le saut d'iOS 18 à iOS 26 a apporté des changements importants dans l'architecture du système, l'expérience utilisateur et la façon dont les données sont gérées et stockées. Cela comprend des systèmes de messagerie remaniés, de nouvelles caractéristiques d'IA et un changement UX global nommé en verre liquide.

Artefacts de messagerie nouveaux et mis à jour

IOS 26 améliore le système de messagerie, conservant des threads de message complexes et divers types de contenu. Les spécialistes de la criminalistique ont identifié:

- Métadonnées élargies et contexte de message stockés dans des formats structurés, qui contiennent plus de détails sur la livraison de messages, l'état de lecture et les participants au fil.
- Enregistrements de fantômes ou restes de messages supprimés et de threads de chat. Ceux-ci peuvent inclure des traces de conversations que les utilisateurs ont supprimées de leurs appareils, mais peuvent toujours avoir des métadonnées persistantes ou des données résiduelles dans les journaux système ou les sauvegardes.
- Les politiques de rétention sur les messages ont un effet critique. Depuis iOS 8, les utilisateurs peuvent définir la rétention des messages à 30 jours, 1 an ou pour toujours. La modification des paramètres de rétention a un impact sur la présence ou l'absence de corps de message et les métadonnées associées sur les appareils et dans les sauvegardes iCloud.
- Des preuves de message supprimé peuvent toujours être présentes dans les sauvegardes ou par le biais de journaux système, permettant une reconstruction partielle des communications précédentes.

Artefacts et défis de sauvegarde

iOS 26 continue de s'appuyer fortement sur les sauvegardes iTunes (cryptées ou non cryptées) pour l'extraction des données médico-légales:

- Les sauvegardes chiffrées offrent un accès à plus de catégories de données telles que les journaux d'appels, les données de santé Apple et l'historique du navigateur.
- Les mots de passe de cryptage peuvent nécessiter la fissuration, bien que la réinitialisation de la réinitialisation du mot de passe de sauvegarde iOS 11 avec une action de réinitialisation de toutes les paramètres, qui perd à certains paramètres.
- Apple a implémenté l'aspirateur automatisé de la base de données SQLite pendant la sauvegarde, ce qui affecte la façon dont les données supprimées ou résiduelles peuvent être récupérées à partir des bases de données de sauvegarde.
- Les sauvegardes peuvent inclure des artefacts liés aux applications utilisateur qui partagent des documents et des fichiers multimédias.

artefacts système et journal

Les journaux système et les fichiers de diagnostic dans iOS 26 sont devenus des sources vitales de données médico-légales:

- Les journaux unifiés introduits car iOS 10 sont désormais encore plus complets, fournissant des activités détaillées du système et de l'application, y compris des événements de sécurité, des tentatives d'authentification et des interactions utilisateur.
- Résultats de la commande d'archives de fichiers sysdiagnostiques et données système pour une analyse approfondie.
- Live Syslog capture des événements d'appareils en temps réel jusqu'à l'interruption de l'enregistrement, utile pour les événements de corrélation.
- Les journaux de crash peuvent ne pas contenir de données utilisateur, mais aider à comprendre les délais d'exécution des applications et à détecter l'activité des logiciels malveillants.

Caractéristiques de l'IA et de l'intelligence

IOS 26 intègre des fonctionnalités axées sur l'IA qui laissent de nouvelles traces de métadonnées et artefacts:

- L'utilisation de l'IA dans la messagerie et le suivi du comportement des utilisateurs génère des métadonnées supplémentaires sur les interactions et le contexte qui peuvent apparaître dans les bases de données d'application.
- Les cadres d'Apple Intelligence stockent les traces d'activités assistées par l'IA au-delà des points de données de communication typiques.

Considérations d'extraction physique et logique

Des outils d'extraction de données médico-légaux comme Magnet Graykey et Verakey ont été mis à jour pour prendre en charge l'iOS 26, garantissant que les enquêteurs peuvent accéder en douceur aux derniers appareils et versions. Les points d'extraction critiques comprennent:

- Chemins de service AFC (Connexion de fichier Apple) comme `/ private / var / mobile / média /` contenant des données multimédias d'utilisateurs et des photos de l'application.
- Service de verrouillage Fournir des informations sur l'appareil (nom, version iOS, identifiants).
- Documents partagés des dossiers d'applications pour les données spécifiques aux applications.
- Extractions logiques via les sauvegardes iTunes ou l'accès AFC aux fichiers de niveau utilisateur.

implications médico-légales de la rétention et de la suppression

Un défi important dans la criminalistique iOS est les paramètres de conservation des données:

- Lorsque la rétention des messages est définie sur autre chose que pour toujours, les anciens données de message sont systématiquement supprimées à la fois de l'appareil et de iCloud, réduisant les preuves médico-légales disponibles.
- Les enregistrements de fantômes indiquent l'ombre des données supprimées ou modifiées et peuvent pointer des tentatives d'obscurcissement ou de détruire des preuves.
- Il est conseillé aux enquêteurs de vérifier la disponibilité des sauvegardes, car les sauvegardes peuvent contenir des données historiques plus étendues malgré les suppressions de l'appareil lui-même.

Résumé des artefacts clés par catégorie

- Messagerie: métadonnées de message améliorées, restes de message fantôme, métadonnées AI.
- Sauvegardes: sauvegardes ITunes cryptées / non cryptées; Impacts de l'aspirateur de la base de données.
- Journaux: journaux système unifiés, fichiers sysdiagnostiques, journaux de plantage, systèmes en direct.
- Données utilisateur: fichiers multimédias, documents d'application partagés.
- Informations système: sorties de service de verrouillage, y compris les identifiants de l'appareil.
- Caractéristiques de l'IA: nouvelles métadonnées contextuelles de l'utilisation de l'IA.

Ces artefacts révèlent les communications des utilisateurs, les interactions d'appareils, les événements système et fournissent des chemins de traçage pour des enquêtes couvrant des affaires criminelles, des incidents de cybersécurité et des enquêtes d'entreprise impliquant des appareils iOS 26. La compréhension et l'extraction correctement de ces artefacts nécessite des outils médico-légaux mis à jour et une attention à la structure évolutive qu'Apple utilise dans iOS 26.

Les références pour ces mises à jour proviennent des contributions récentes par des experts médico-légaux et des organisations telles que Magnet Forensics, N1 Discovery et Hexordia, qui ont mené des recherches approfondies et des résultats partagés sur les techniques et les artefacts d'analyse médico-légale d'iOS 26.