Artefakty sądowe pozostawione przez iOS 26 aktualizacje i kopie zapasowe

Przegląd artefaktów kryminalistycznych iOS 26

Skok z iOS 18 na iOS 26 przyniósł znaczące zmiany w architekturze systemu, wrażenia użytkownika oraz sposób zarządzania i przechowywania danych. Obejmuje to odnowione systemy przesyłania wiadomości, nowatorskie funkcje AI i ogólną zmianę UX o nazwie „płynne szkło”. Te zmiany wpływają na lokalizację danych, format i dostępność do celów krążenia.

Nowe i zaktualizowane artefakty przesyłania wiadomości

iOS 26 zwiększa system przesyłania wiadomości, zachowując złożone wątki wiadomości i różne typy treści. Specjaliści kryminalistyki zidentyfikowali:

- Rozszerzone metadane i kontekst komunikatu przechowywany w ustrukturyzowanych formatach, które zawierają więcej szczegółów na temat dostarczania wiadomości, statusu odczytu i uczestników wątków.
- Rekordy duchów lub resztki usuniętych wiadomości i wątków czatu. Mogą one obejmować ślady rozmów, które użytkownicy usunęli ze swoich urządzeń, ale mogą nadal mieć długotrwałe metadane lub resztkowe dane w dziennikach systemowych lub kopii zapasowych.
- Zasady przechowywania wiadomości mają kluczowy wpływ. Ponieważ iOS 8 użytkownicy mogą ustawić retencję wiadomości na 30 dni, 1 rok lub na zawsze. Zmiana ustawień retencji wpływa na obecność lub brak ciał wiadomości i powiązanych metadanych na urządzeniach i kopii zapasowych iCloud.
- Usunięte dowody wiadomości mogą nadal występować w kopii zapasowych lub za pośrednictwem dzienników systemowych, umożliwiając częściową rekonstrukcję poprzedniej komunikacji.

zapasowe artefakty i wyzwania

iOS 26 nadal polega w dużej mierze na kopii zapasowych iTunes (zaszyfrowanych lub niezaszyfrowanych) w celu ekstrakcji danych kryminalistycznych:

- Zaszyfrowane kopie zapasowe oferują dostęp do większej liczby kategorii danych, takich jak dzienniki połączeń, dane dotyczące zdrowia Apple i historia przeglądarki.
- Hasła szyfrowania mogą wymagać pękania, chociaż ponieważ iOS 11 zresetowanie hasła do tworzenia kopii zapasowych jest możliwe z resetem akcji wszystkich ustawień, które przepadają niektóre ustawienia.
- Apple zaimplementowało zautomatyzowane odkurzanie bazy danych SQLITE podczas kopii zapasowej, co wpływa na sposób usuniętego lub resztkowego danych z baz danych kopii zapasowych.
- kopie zapasowe mogą zawierać artefakty związane z aplikacjami użytkownika, które udostępniają dokumenty i pliki multimedialne.

artefakty systemowe i dziennika

Dzienniki systemowe i pliki diagnostyczne w iOS 26 stały się istotnymi źródłami danych kryminalistycznych:

- Zjednoczone dzienniki wprowadzone, ponieważ iOS 10 są teraz jeszcze bardziej kompleksowe, zapewniając szczegółowe działania systemowe i aplikacyjne, w tym zdarzenia bezpieczeństwa, próby uwierzytelniania i interakcje użytkowników.
- Wyniki polecenia archiwum plików sysdiagnozy i dane systemowe do dogłębnej analizy.
- Syslog na żywo przechwytuje zdarzenia urządzeń w czasie rzeczywistym do momentu przerwania rejestrowania, przydatne do skorelowania zdarzeń.
- Dzienniki awaryjne mogą nie zawierać danych użytkownika, ale pomóc w zrozumieniu harmonogramu wykonywania aplikacji i wykrywania aktywności złośliwego oprogramowania.

AI i funkcje inteligencji

iOS 26 zawiera funkcje oparte na AI, które pozostawiają nowe ślady metadanych i artefakty:

- Wykorzystanie sztucznej inteligencji w przesyłaniu wiadomości i śledzenia zachowań użytkowników generuje dodatkowe metadane dotyczące interakcji i kontekstu, które mogą pojawiać się w bazach danych aplikacji.
- Apple Intelligence Frameworks przechowuje ślady działań wspomaganych przez AI poza typowymi punktami danych komunikacyjnych.

Fizyczne i logiczne względy ekstrakcji

Narzędzia do ekstrakcji danych sądowych, takie jak Magnet Graykey i Verakey, zostały zaktualizowane w celu obsługi iOS 26, upewniając się, że badacze będą mieli dostęp do najnowszych urządzeń i wersji. Krytyczne punkty ekstrakcji obejmują:

- Ścieżki usług AFC (Plik Apple Plik), takie jak `/private/var/mobile/media/` zawierające dane multimedialne i zdjęcia.
- Usługa blokady zapewniająca informacje o urządzeniu (nazwa, wersja iOS, identyfikatory).
- Udostępnione foldery dokumentów aplikacji dla danych specyficznych dla aplikacji.
- logiczne ekstrakcje za pośrednictwem kopii zapasowych iTunes lub dostęp do plików na poziomie użytkownika.

Implikacje kryminalistyczne retencji i usunięcia

Jednym znaczącym wyzwaniem w iOS Forensics są ustawienia przechowywania danych:

- Gdy zatrzymanie wiadomości jest ustawione na wszystko inne niż „na zawsze, starsze dane wiadomości są systematycznie usuwane zarówno z urządzenia, jak i iCloud, zmniejszając dostępne dowody kryminalistyczne.
- Rekordy duchów wskazują cień usuniętych lub zmienionych danych i mogą wskazywać na próby zaciemnienia lub zniszczenia dowodów.
- Śledczy zaleca się sprawdzenie dostępności kopii zapasowej, ponieważ kopie zapasowe mogą przechowywać bardziej obszerne dane historyczne pomimo usunięcia samego urządzenia.

Podsumowanie kluczowych artefaktów według kategorii

- Messaging: Ulepszone metadane wiadomości, resztki przesłania duchów, metadane AI.
- Backups: Szyfrowane/niezadowolone kopie zapasowe iTunes; Odkurzanie bazy danych.
- Dzienniki: zunifikowane dzienniki systemowe, pliki sysdiagnozy, dzienniki awarii, syslogy na żywo.
- Dane użytkownika: pliki multimedialne, udostępnione dokumenty aplikacji.
- Informacje o systemie: Wyjścia usług blokujących, w tym identyfikatory urządzeń.
- Funkcje AI: Nowe metadane kontekstowe z wykorzystania AI.

Te artefakty ujawniają komunikację użytkowników, interakcje urządzeń, zdarzenia systemowe i zapewniają ścieżki śledzenia dochodzeń obejmujących sprawy karne, incydenty cyberbezpieczeństwa i zapytania korporacyjne z udziałem urządzeń iOS 26. Zrozumienie i właściwe wyodrębnienie tych artefaktów wymaga zaktualizowanych narzędzi kryminalistycznych i uwagi na ewoluującą strukturę stosowaną przez Apple w iOS 26.