Artefatti forensi lasciati dagli aggiornamenti e backup iOS 26

Panoramica di iOS 26 artefatti forensi

Il salto da iOS 18 a iOS 26 ha portato cambiamenti significativi nell'architettura del sistema, nell'esperienza dell'utente e in che modo i dati vengono gestiti e archiviati. Ciò include sistemi di messaggistica rinnovati, nuove funzionalità di intelligenza artificiale e un cambio di UX complessivo chiamato Glass liquido. Questi cambiamenti influiscono su posizioni dei dati, formato e accessibilità a fini forensi.

artefatti di messaggistica nuovi e aggiornati

IOS 26 migliora il sistema di messaggistica, mantenendo thread di messaggi complessi e vari tipi di contenuto. Gli specialisti forensi hanno identificato:

- Metadati ampliati e contesto di messaggio archiviati in formati strutturati, che contengono maggiori dettagli sulla consegna dei messaggi, lo stato di lettura e i partecipanti al thread.
- Record fantasma o resti di messaggi eliminati e thread di chat. Questi possono includere tracce di conversazioni che gli utenti hanno eliminato dai loro dispositivi ma possono comunque avere metadati persistenti o dati residui nei registri di sistema o nei backup.
- Le politiche di ritenzione sui messaggi hanno un effetto critico. Dal momento che iOS 8, gli utenti possono impostare la conservazione dei messaggi su 30 giorni, 1 anno o per sempre. La modifica delle impostazioni di ritenzione influisce sulla presenza o l'assenza di corpi di messaggi e metadati associati sui dispositivi e nei backup iCloud.
- Le prove del messaggio eliminate possono ancora essere presenti in backup o tramite registri di sistema, consentendo la ricostruzione parziale di comunicazioni precedenti.

artefatti di backup e sfide

iOS 26 continua a fare molto affidamento sui backup di iTunes (crittografati o non crittografati) per l'estrazione di dati forensi:

- I backup crittografati offrono l'accesso a più categorie di dati come registri delle chiamate, dati sulla salute di Apple e cronologia dei browser.
- Le password di crittografia possono richiedere cracking, anche se poiché iOS 11 è possibile ripristinare la password di backup con un'azione di ripristino di tutte le impostazioni, che perde alcune impostazioni.
- Apple ha implementato l'aspirazione del database SQLite automatizzato durante il backup, il che influisce su come i dati eliminati o residui possono essere recuperati dai database di backup.
- I backup possono includere artefatti relativi alle applicazioni utente che condividono documenti e file multimediali.

artefatti di sistema e registro

I registri del sistema e i file diagnostici in iOS 26 sono diventati fonti vitali di dati forensi:

- I registri unificati introdotti poiché iOS 10 sono ora ancora più completi, fornendo attività dettagliate di sistema e applicazioni, inclusi eventi di sicurezza, tentativi di autenticazione e interazioni utente.
- Risultati dei comandi dell'archivio dei file di sysdiagnose e dati di sistema per l'analisi approfondita.
- Syslog Live cattura eventi di dispositivo in tempo reale fino a quando la registrazione non viene interrotta, utile per eventi correlati.
- I registri di crash potrebbero non contenere dati utente ma aiutare a comprendere le tempistiche di esecuzione dell'applicazione e rilevare l'attività di malware.

AI e funzionalità di intelligence

iOS 26 incorpora caratteristiche basate sull'IA che lasciano nuove tracce e artefatti di metadati:

- L'utilizzo di AI nella messaggistica e il monitoraggio del comportamento degli utenti genera ulteriori metadati sulle interazioni e sul contesto che possono apparire nei database delle applicazioni.
- I framework di intelligence Apple archiviano tracce di attività assistite dall'IA oltre i tipici punti di comunicazione.

considerazioni di estrazione fisica e logica

Strumenti di estrazione dei dati forensi come Magnet Graykey e Verakey sono stati aggiornati per supportare iOS 26, garantendo che gli investigatori possano accedere ai dispositivi e alle versioni più recenti. I punti di estrazione critici includono:

- Percorsi di servizio AFC (Apple File Connection) come `/private/var/mobile/multimediale/` contenente i dati dell'app multimediale e foto dell'utente.
- Servizio di blocco che fornisce informazioni sul dispositivo (nome, versione iOS, identificatori).
- Cartelle di app condivise di app per dati specifici per app.
- Estrazioni logiche attraverso i backup iTunes o l'accesso AFC a file a livello di utente.

implicazioni forensi di ritenzione e cancellazione

Una sfida significativa nella forense di iOS sono le impostazioni di conservazione dei dati:

- Quando la ritenzione del messaggio è impostata su qualcosa di diverso da  Per sempre, i dati dei messaggi più vecchi vengono sistematicamente rimossi sia dal dispositivo che da iCloud, riducendo le prove forensi disponibili.
- I registri fantasma indicano l'ombra di dati eliminati o alterati e possono indicare i tentativi di offuscare o distruggere le prove.
- Si consiglia agli investigatori di verificare la disponibilità di backup, poiché i backup possono contenere dati storici più estesi nonostante le eliminazioni sul dispositivo stesso.

Riepilogo dei manufatti chiave per categoria

- Messaggi: metadati di messaggi migliorati, resti di messaggio fantasma, metadati AI.
- Backup: backup iTunes crittografati/non crittografati; Database Impatti sull'aspirazione.
- Registri: registri di sistema unificati, file sysdiagnose, registri di crash, syslog live.
- Dati utente: file multimediali, documenti di app condiviso.
- Informazioni di sistema: output del servizio di blocco inclusi identificatori del dispositivo.
- Caratteristiche AI: nuovi metadati contestuali dall'uso di AI.

Questi artefatti rivelano le comunicazioni degli utenti, le interazioni dei dispositivi, gli eventi di sistema e forniscono percorsi di tracciamento per le indagini che abbracciano casi penali, incidenti di sicurezza informatica e richieste aziendali che coinvolgono dispositivi iOS 26. Comprendere ed estrarre correttamente questi artefatti richiede strumenti forensi aggiornati e attenzione alla struttura in evoluzione che Apple impiega in iOS 26.