Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Δικαστικά αντικείμενα που άφησαν οι ενημερώσεις και τα αντίγραφα ασφαλείας iOS 26


Δικαστικά αντικείμενα που άφησαν οι ενημερώσεις και τα αντίγραφα ασφαλείας iOS 26


Το iOS 26 εισάγει πολλά νέα εγκληματολογικά αντικείμενα και ενημερώσεις σε υπάρχοντα που οι ψηφιακοί εγκληματολογικοί ερευνητές πρέπει να γνωρίζουν κατά την ανάλυση συσκευών και αντιγράφων ασφαλείας. Αυτά τα αντικείμενα παρέχουν βασικές γνώσεις σχετικά με τη δραστηριότητα των χρηστών, τα συμβάντα του συστήματος, τις επικοινωνίες και πολλά άλλα, αλλά επίσης έρχονται με πολυπλοκότητες που σχετίζονται με τις δομές δεδομένων του λειτουργικού συστήματος και τις πολιτικές διατήρησης.

Επισκόπηση των ιατροδικαστών iOS 26

Το άλμα από το iOS 18 έως το iOS 26 έφερε σημαντικές αλλαγές στην αρχιτεκτονική του συστήματος, την εμπειρία των χρηστών και τον τρόπο με τον οποίο τα δεδομένα διαχειρίζονται και αποθηκεύονται. Αυτό περιλαμβάνει ανανεωμένα συστήματα ανταλλαγής μηνυμάτων, νέα χαρακτηριστικά AI και μια συνολική αλλαγή UX που ονομάζεται υγρό γυαλί. Αυτές οι αλλαγές επηρεάζουν τις θέσεις δεδομένων, τη μορφή και την προσβασιμότητα για τους εγκληματολογικούς σκοπούς.

νέα και ενημερωμένα αντικείμενα μηνυμάτων

Το iOS 26 ενισχύει το σύστημα ανταλλαγής μηνυμάτων, διατηρώντας σύνθετα νήματα μηνυμάτων και διάφορους τύπους περιεχομένου. Οι ειδικοί της εγκληματολογίας έχουν εντοπίσει:

- Τα εκτεταμένα μεταδεδομένα και το πλαίσιο μηνυμάτων που αποθηκεύονται σε δομημένες μορφές, οι οποίες διαθέτουν περισσότερες λεπτομέρειες σχετικά με την παράδοση μηνυμάτων, την κατάσταση ανάγνωσης και τους συμμετέχοντες στο νήμα.
- Εγγραφές φάντασμα ή υπολείμματα διαγραμμένων μηνυμάτων και νημάτων συνομιλίας. Αυτά μπορεί να περιλαμβάνουν ίχνη συνομιλιών που έχουν διαγράψει οι χρήστες από τις συσκευές τους, αλλά μπορεί να εξακολουθούν να έχουν παρατεταμένα μεταδεδομένα ή υπολειμματικά δεδομένα σε αρχεία καταγραφής συστήματος ή αντίγραφα ασφαλείας.
- Οι πολιτικές διατήρησης στα μηνύματα έχουν κρίσιμο αποτέλεσμα. Από το iOS 8, οι χρήστες μπορούν να ορίσουν τη διατήρηση μηνυμάτων σε 30 ημέρες, 1 έτος ή για πάντα. Η αλλαγή των ρυθμίσεων διατήρησης επηρεάζει την παρουσία ή την απουσία των σωμάτων μηνυμάτων και των συναφών μεταδεδομένων σε συσκευές και σε αντίγραφα ασφαλείας iCloud.
- Διαγραμμένα αποδεικτικά στοιχεία μηνύματος ενδέχεται να υπάρχουν ακόμα σε αντίγραφα ασφαλείας ή μέσω αρχείων καταγραφής συστήματος, επιτρέποντας τη μερική ανασυγκρότηση προηγούμενων επικοινωνιών.

αντίγραφα ασφαλείας και προκλήσεις

Το iOS 26 συνεχίζει να βασίζεται σε μεγάλο βαθμό σε αντίγραφα ασφαλείας του iTunes (είτε κρυπτογραφημένα είτε χωρίς κρυπτογραφημένα) για την εξαγωγή εγκληματολογικών δεδομένων:

- Τα κρυπτογραφημένα αντίγραφα ασφαλείας προσφέρουν πρόσβαση σε περισσότερες κατηγορίες δεδομένων, όπως αρχεία καταγραφής κλήσεων, δεδομένα υγείας της Apple και ιστορικό προγράμματος περιήγησης.
- Οι κωδικοί πρόσβασης κρυπτογράφησης ενδέχεται να απαιτούν ρωγμές, αν και δεδομένου ότι το iOS 11 επαναφέρεται ο κωδικός εφεδρικής επένδυσης είναι δυνατός με μια ενεργοποίηση όλων των ρυθμίσεων, η οποία χάνει ορισμένες ρυθμίσεις.
- Η Apple έχει εφαρμόσει την αυτοματοποιημένη βάση δεδομένων SQLite κατά τη διάρκεια της δημιουργίας αντιγράφων ασφαλείας, η οποία επηρεάζει τον τρόπο με τον οποίο μπορούν να ανακτηθούν διαγραμμένα ή υπολειμματικά δεδομένα από τις βάσεις δεδομένων δημιουργίας αντιγράφων ασφαλείας.
- Τα αντίγραφα ασφαλείας μπορεί να περιλαμβάνουν αντικείμενα που σχετίζονται με εφαρμογές χρηστών που μοιράζονται έγγραφα και αρχεία πολυμέσων.

ΣΥΣΤΗΜΑΤΑ ΚΑΙ ΛΟΓΙΣΜΟΣ

Τα αρχεία καταγραφής συστήματος και διαγνωστικά αρχεία στο iOS 26 έχουν γίνει ζωτικές πηγές εγκληματολογικών δεδομένων:

- Τα ενοποιημένα αρχεία καταγραφής που εισήχθησαν από τότε που το iOS 10 είναι ακόμη πιο ολοκληρωμένο, παρέχοντας λεπτομερείς δραστηριότητες συστήματος και εφαρμογών, συμπεριλαμβανομένων των εκδηλώσεων ασφαλείας, των προσπαθειών ελέγχου ταυτότητας και των αλληλεπιδράσεων των χρηστών.
- Sysdiagnose Αρχεία Αρχείων Αρχείων Αρχείων και Δεδομένα Συστήματος για Αναλυτική Ανάλυση.
- Το Live Syslog καταγράφει συμβάντα συσκευής σε πραγματικό χρόνο μέχρι να διακόψει η καταγραφή, χρήσιμη για τα συμβάντα συσχέτισης.
- Τα αρχεία καταγραφής συντριβής ενδέχεται να μην περιέχουν δεδομένα χρήστη, αλλά να βοηθήσουν στην κατανόηση των χρονοδιαγραμμάτων εκτέλεσης εφαρμογών και στην ανίχνευση δραστηριοτήτων κακόβουλου λογισμικού.

AI και δυνατότητες πληροφοριών

Το iOS 26 ενσωματώνει χαρακτηριστικά AI που αφήνουν νέα ίχνη μεταδεδομένων και αντικείμενα:

- Η χρήση του AI στην παρακολούθηση ανταλλαγής μηνυμάτων και συμπεριφοράς χρηστών παράγει πρόσθετα μεταδεδομένα σχετικά με τις αλληλεπιδράσεις και το πλαίσιο που μπορούν να εμφανιστούν στις βάσεις δεδομένων εφαρμογών.
- Τα πλαίσια της Apple Intelligence Frameworks αποθηκεύουν ίχνη δραστηριοτήτων που βοηθούν στο AI πέρα ​​από τα τυπικά σημεία δεδομένων επικοινωνίας.

Φυσικές και λογικές εκτιμήσεις εξαγωγής

Τα εργαλεία εξαγωγής εγκληματολογικών δεδομένων όπως το Magnet Graykey και το Verakey έχουν ενημερωθεί για να υποστηρίξουν το iOS 26, εξασφαλίζοντας ότι οι ερευνητές μπορούν να έχουν πρόσβαση ομαλά στις τελευταίες συσκευές και εκδόσεις. Τα κρίσιμα σημεία εκχύλισης περιλαμβάνουν:

- Διαδρομές υπηρεσίας AFC (σύνδεση αρχείου Apple) όπως `/ιδιωτικό/var/mobile/media/` που περιέχει δεδομένα χρήστη πολυμέσων και φωτογραφιών.
- Υπηρεσία κλειδώματος Παρέχοντας πληροφορίες συσκευών (όνομα, έκδοση iOS, αναγνωριστικά).
- Κοινόχρηστοι φακέλοι εφαρμογών για εφαρμογές για συγκεκριμένες εφαρμογές.
- Λογικές εκχυλίσεις μέσω αντιγράφων ασφαλείας iTunes ή AFC πρόσβαση σε αρχεία σε επίπεδο χρήστη.

Δικαστικές επιπτώσεις της διατήρησης και της διαγραφής

Μία σημαντική πρόκληση στο IOS Forensics είναι οι ρυθμίσεις διατήρησης δεδομένων:

- Όταν η διατήρηση του μηνύματος έχει οριστεί σε οτιδήποτε άλλο εκτός από το για πάντα, τα παλαιότερα δεδομένα μηνυμάτων αφαιρούνται συστηματικά τόσο από τη συσκευή όσο και από το iCloud, μειώνοντας τις διαθέσιμες εγκληματολογικές αποδείξεις.
- Τα αρχεία Ghost υποδεικνύουν τη σκιά των διαγραμμένων ή τροποποιημένων δεδομένων και μπορεί να δείχνουν τις προσπάθειες να παραβιάζουν ή να καταστρέφουν τα αποδεικτικά στοιχεία.
- Οι ερευνητές συμβουλεύονται να ελέγξουν τη διαθεσιμότητα αντιγράφων ασφαλείας, καθώς τα αντίγραφα ασφαλείας ενδέχεται να διατηρούν πιο εκτεταμένα ιστορικά δεδομένα παρά τις διαγραφές στην ίδια τη συσκευή.

Περίληψη των βασικών αντικειμένων ανά κατηγορία

- μηνύματα: Ενισχυμένα μεταδεδομένα μηνύματος, υπολείμματα μηνυμάτων με φάντασμα, μεταδεδομένα AI.
- αντίγραφα ασφαλείας: κρυπτογραφημένα/μη κρυπτογραφημένα αντίγραφα ασφαλείας iTunes. Οι επιπτώσεις της βάσης δεδομένων.
- Αρχεία καταγραφής: ενοποιημένα αρχεία καταγραφής συστήματος, αρχεία sysdiagnose, αρχεία καταγραφής, ζωντανά syslogs.
- Δεδομένα χρήστη: αρχεία πολυμέσων, κοινόχρηστα έγγραφα εφαρμογής.
- Πληροφορίες συστήματος: Έξοδοι υπηρεσίας κλειδώματος, συμπεριλαμβανομένων των αναγνωριστικών συσκευών.
- AI Χαρακτηριστικά: Νέα μεταδεδομένα συμφραζόμενα από τη χρήση AI.

Αυτά τα αντικείμενα αποκαλύπτουν επικοινωνίες χρηστών, αλληλεπιδράσεις συσκευών, συμβάντα συστήματος και παρέχουν διαδρομές ανίχνευσης για έρευνες που καλύπτουν ποινικές υποθέσεις, περιστατικά στον κυβερνοχώρο και εταιρικές έρευνες που αφορούν συσκευές iOS 26. Η κατανόηση και η σωστή εξαγωγή αυτών των αντικειμένων απαιτεί ενημερωμένα ιατροδικαστικά εργαλεία και προσοχή στην εξελισσόμενη δομή της Apple που χρησιμοποιεί στο iOS 26.

Οι αναφορές για αυτές τις ενημερώσεις προέρχονται από πρόσφατες συνεισφορές από εγκληματολογικούς εμπειρογνώμονες και οργανισμούς όπως η Magnet Forensics, η N1 Discovery και η Hexordia, οι οποίοι διεξήγαγαν εκτεταμένες έρευνες και κοινά ευρήματα σχετικά με τις τεχνικές εγκληματολογίας και τα αντικείμενα της IOS 26.