iOS 26 memperkenalkan beberapa artefak forensik baru dan pembaruan kepada yang sudah ada yang harus diketahui oleh peneliti forensik digital saat menganalisis perangkat dan cadangan. Artefak ini memberikan wawasan utama tentang aktivitas pengguna, acara sistem, komunikasi, dan banyak lagi, tetapi juga datang dengan kompleksitas yang terkait dengan struktur data sistem operasi dan kebijakan retensi.
Ikhtisar iOS 26 artefak forensik
Lompatan dari iOS 18 ke iOS 26 membawa perubahan signifikan dalam arsitektur sistem, pengalaman pengguna, dan bagaimana data dikelola dan disimpan. Ini termasuk sistem pesan yang dirubah, fitur AI baru, dan perubahan UX secara keseluruhan bernama â cair glass. Perubahan ini memengaruhi lokasi data, format, dan aksesibilitas untuk tujuan forensik.
Artefak pesan baru dan diperbarui
iOS 26 meningkatkan sistem pesan, mempertahankan utas pesan yang kompleks dan berbagai jenis konten. Spesialis forensik telah mengidentifikasi:
- Metadata yang diperluas dan konteks pesan yang disimpan dalam format terstruktur, yang memiliki rincian lebih lanjut tentang pengiriman pesan, status baca, dan peserta utas.
- Catatan hantu atau sisa -sisa pesan yang dihapus dan utas obrolan. Ini dapat mencakup jejak percakapan yang telah dihapus pengguna dari perangkat mereka tetapi mungkin masih memiliki metadata yang masih ada atau data residu dalam log sistem atau cadangan.
- Kebijakan retensi pada pesan memiliki efek kritis. Sejak iOS 8, pengguna dapat mengatur retensi pesan hingga 30 hari, 1 tahun, atau selamanya. Mengubah pengaturan retensi berdampak pada ada atau tidak adanya badan pesan dan metadata terkait pada perangkat dan dalam cadangan iCloud.
- Bukti pesan yang dihapus mungkin masih ada di cadangan atau melalui log sistem, memungkinkan rekonstruksi parsial komunikasi sebelumnya.
Artefak cadangan dan tantangan
iOS 26 terus sangat bergantung pada cadangan iTunes (baik dienkripsi atau tidak terenkripsi) untuk ekstraksi data forensik:
- Cadangan terenkripsi menawarkan akses ke lebih banyak kategori data seperti log panggilan, data kesehatan Apple, dan riwayat browser.
- Kata sandi enkripsi mungkin memerlukan retak, meskipun karena iOS 11 mengatur ulang kata sandi cadangan dimungkinkan dengan tindakan reset semua pengaturan, yang kehilangan beberapa pengaturan.
- Apple telah mengimplementasikan penghisap database SQLite otomatis selama cadangan, yang mempengaruhi bagaimana data yang dihapus atau residu dapat dipulihkan dari database cadangan.
- Cadangan dapat mencakup artefak yang terkait dengan aplikasi pengguna yang berbagi dokumen dan file multimedia.
Sistem dan log artefak
Sistem log dan file diagnostik di iOS 26 telah menjadi sumber vital data forensik:
- Log terpadu yang diperkenalkan karena iOS 10 sekarang bahkan lebih komprehensif, menyediakan sistem rinci dan kegiatan aplikasi, termasuk acara keamanan, upaya otentikasi, dan interaksi pengguna.
- SYSDIAGNOSE File Hasil perintah arsip dan data sistem untuk analisis mendalam.
- Syslog langsung menangkap acara perangkat real-time sampai logging terganggu, berguna untuk acara yang berkorelasi.
- Log crash mungkin tidak berisi data pengguna tetapi membantu memahami jadwal eksekusi aplikasi dan mendeteksi aktivitas malware.
AI dan fitur intelijen
iOS 26 menggabungkan fitur yang digerakkan AI yang meninggalkan jejak metadata dan artefak baru:
- Penggunaan AI dalam pengiriman pesan dan perilaku pengguna menghasilkan metadata tambahan tentang interaksi dan konteks yang dapat muncul dalam database aplikasi.
- Kerangka Kerja Intelijen Apple Toko jejak kegiatan yang dibantu AI di luar titik data komunikasi yang khas.
Pertimbangan Ekstraksi Fisik dan Logis
Alat ekstraksi data forensik seperti Magnet Graykey dan Verakey telah diperbarui untuk mendukung iOS 26, memastikan para peneliti dapat mengakses perangkat dan versi terbaru dengan lancar. Poin ekstraksi kritis meliputi:
- AFC (koneksi file Apple) Jalur layanan seperti `/private/var/seluler/media/` yang berisi multimedia pengguna dan data aplikasi foto.
- Layanan Lockdown Memberikan informasi perangkat (nama, versi iOS, pengidentifikasi).
- Dokumen bersama folder aplikasi untuk data khusus aplikasi.
- Ekstraksi logis melalui cadangan iTunes atau akses AFC ke file tingkat pengguna.
Implikasi forensik dari retensi dan penghapusan
Salah satu tantangan signifikan di forensik iOS adalah pengaturan retensi data:
- Ketika retensi pesan diatur ke apa pun selain  selamanya,  Data pesan yang lebih lama secara sistematis dihapus dari perangkat dan iCloud, mengurangi bukti forensik yang tersedia.
- Catatan hantu menunjukkan bayangan data yang dihapus atau diubah dan mungkin menunjukkan upaya untuk mengaburkan atau menghancurkan bukti.
- Peneliti disarankan untuk memeriksa ketersediaan cadangan, karena cadangan dapat menyimpan data historis yang lebih luas meskipun penghapusan pada perangkat itu sendiri.
Ringkasan artefak kunci berdasarkan kategori
- Pesan: Metadata pesan yang disempurnakan, sisa -sisa pesan hantu, AI metadata.
- cadangan: cadangan iTunes terenkripsi/tidak terenkripsi; dampak penghisap basis data.
- Log: log sistem terpadu, file sysdiagnose, log crash, syslog langsung.
- Data pengguna: File multimedia, dokumen aplikasi bersama.
- Info Sistem: Output layanan penguncian termasuk pengidentifikasi perangkat.
- Fitur AI: Metadata kontekstual baru dari penggunaan AI.
Artefak ini mengungkapkan komunikasi pengguna, interaksi perangkat, acara sistem, dan menyediakan jalur penelusuran untuk investigasi yang mencakup kasus pidana, insiden keamanan siber, dan pertanyaan perusahaan yang melibatkan perangkat iOS 26. Memahami dan mengekstraksi artefak ini dengan benar membutuhkan alat forensik yang diperbarui dan perhatian pada struktur yang berkembang Apple yang digunakan di iOS 26.
Referensi untuk pembaruan ini berasal dari kontribusi terbaru oleh para ahli dan organisasi forensik seperti magnet forensik, penemuan N1, dan hexordia, yang telah melakukan penelitian ekstensif dan temuan bersama pada teknik dan artefak analisis forensik iOS 26.