Spoločnosť IOS 26 predstavuje niekoľko nových forenzných artefaktov a aktualizácií existujúcich, o ktorých si musia byť pri analýze zariadení a zálohovaní digitálni forenzní vyšetrovatelia vedomí. Tieto artefakty poskytujú kľúčové poznatky o aktivite používateľov, systémových udalostiach, komunikáciách a ďalších, ale tiež prichádzajú so zložitosťou súvisiacimi s dátovými štruktúrami a politikami retencie operačného systému.
Prehľad forenzných artefaktov iOS 26
Skok z iOS 18 na iOS 26 priniesol významné zmeny v architektúre systému, užívateľské skúsenosti a spôsob, akým sa údaje spravujú a ukladajú. To zahŕňa prepracované systémy zasielania správ, nové funkcie AI a celkovú zmenu UX s názvom „Tekuté sklo. Tieto zmeny vplyvy dátových údajov, formát a dostupnosť na forenzné účely.
Nové a aktualizované artefakty správ
iOS 26 vylepšuje systém správ a zachováva komplexné vlákna správy a rôzne typy obsahu. Forenzní špecialisti identifikovali:
- Rozšírené metadáta a kontext správ uložené v štruktúrovaných formátoch, ktoré obsahujú viac podrobností o doručovaní správ, čítaní stavu a účastníkov vlákna.
- Duchové záznamy alebo zvyšky odstránených správ a vlákien chatu. Môže to zahŕňať stopy konverzácií, ktoré používatelia odstránili zo svojich zariadení, ale stále môžu mať pretrvávajúce metadáta alebo zvyškové údaje v systémových protokoloch alebo zálohách.
- Politiky retencie správ majú kritický účinok. Od systému iOS 8 môžu používatelia nastaviť udržanie správ na 30 dní, 1 rok alebo navždy. Zmena nastavení retencie ovplyvňuje prítomnosť alebo neprítomnosť orgánov správ a súvisiace metadáta na zariadeniach a v zálohách iCloud.
- Odstránené dôkazy o správe môžu byť stále prítomné v zálohách alebo prostredníctvom systémových protokolov, čo umožňuje čiastočnú rekonštrukciu predchádzajúcich komunikácií.
záložné artefakty a výzvy
iOS 26 sa naďalej spolieha na zálohy iTunes (buď šifrované alebo nešifrované) na forenznú extrakciu údajov:
- Šifrované zálohy ponúkajú prístup k viacerým kategóriám údajov, ako sú protokoly hovorov, údaje o zdraví spoločnosti Apple a história prehliadača.
- Heslá šifrovania môžu vyžadovať praskanie, hoci keďže iOS 11 resetovanie zálohovacieho hesla je možné s resetom všetkých nastavení, ktoré prepadnú niektoré nastavenia.
- Spoločnosť Apple implementovala automatizované vysávanie databázy SQLite počas zálohovania, čo ovplyvňuje spôsob, akým je možné vymazané alebo zvyškové údaje získať zo záložných databáz.
- Zálohy môžu obsahovať artefakty týkajúce sa užívateľských aplikácií, ktoré zdieľajú dokumenty a multimediálne súbory.
Systémové a denné artefakty
Systémové protokoly a diagnostické súbory v iOS 26 sa stali dôležitými zdrojmi forenzných údajov:
- Unifikované denníky zavedené od IOS 10 sú teraz ešte komplexnejšie a poskytujú podrobné aktivity systému a aplikácií vrátane bezpečnostných udalostí, pokusov o autentifikáciu a interakcií používateľov.
- Sysdiagnózne súbory Výsledky príkazu archív a systémové údaje pre hĺbkovú analýzu.
- Live Syslog zachytáva udalosti zariadenia v reálnom čase, až kým nie je prerušené protokolovanie, užitočné na koreláciu udalostí.
- Protokoly havárie nemusia obsahovať údaje používateľa, ale pomáhajú porozumieť časovým harmonogramom vykonávania aplikácie a zisťovať aktivitu škodlivého softvéru.
AI a inteligencia funkcie
IOS 26 zahŕňa funkcie riadené AI, ktoré zanechávajú nové stopy metadát a artefakty:
- Použitie AI pri sledovaní správ a sledovanie správania používateľov generuje ďalšie metadáta o interakciách a kontexte, ktoré sa môžu objaviť v databázach aplikácií.
- Rámec inteligencie spoločnosti Apple ukladá stopy aktivít podporovaných AI, nad rámec typických komunikačných dátových bodov.
Fyzické a logické úvahy o extrakcii
Forenzné nástroje na extrakciu údajov, ako je Magnet Graykey a Verrakey, boli aktualizované, aby podporovali iOS 26, čo vyšetrovateľom bude mať prístup k najnovším zariadeniam a verziám hladko. Kritické extrakčné body zahŕňajú:
- AFC (Apple File Connection) Servisné cesty ako `/private/var/mobile/médium/` obsahujúce multimédiá a údaje o aplikáciách používateľa.
- poskytovanie služieb poskytujúcich poskytovanie informácií o zariadení (názov, verzia systému iOS, identifikátory).
- Zdieľané dokumenty priečinkov aplikácií pre údaje špecifické pre aplikáciu.
- Logické extrakcie prostredníctvom záloh iTunes alebo AFC prístup k súborom na úrovni používateľov.
Forenzné dôsledky retencie a vymazania
Jednou z významných výziev v forenznom systéme iOS je nastavenia uchovávania údajov:
- Ak je zadržanie správy nastavené na čokoľvek iné ako na večne, staršie údaje správ sa systematicky odstránia zo zariadenia aj iCloud, čím sa znižuje dostupné forenzné dôkazy.
- Záznamy duchov naznačujú tieň vymazaných alebo zmenených údajov a môžu poukazovať na pokusy o zahmlievanie alebo zničenie dôkazov.
- Vyšetrovateľom sa odporúča skontrolovať dostupnosť zálohovania, pretože zálohy môžu obsahovať rozsiahlejšie historické údaje napriek deléciám na samotnom zariadení.
Zhrnutie kľúčových artefaktov podľa kategórie
- Správy: Vylepšené metadáta správ, zvyšky strašidelnej správy, metadáta AI.
- zálohy: šifrované/nešifrované zálohy iTunes; Vplyv na vysávanie databázy.
- denníky: Unifikované protokoly systému, súbory sysdiagnózy, protokoly havárie, živé syslogy.
- Užívateľské údaje: multimediálne súbory, zdieľané dokumenty aplikácie.
- Informácie o systéme: Výstupy služieb zámku vrátane identifikátorov zariadenia.
- Funkcie AI: Nové kontextové metadáta z používania AI.
Tieto artefakty odhaľujú komunikáciu používateľov, interakcie zariadení, systémové udalosti a poskytujú sledovacie cesty pre vyšetrovania pokrývajúce trestné prípady, incidenty v oblasti kybernetickej bezpečnosti a podnikové vyšetrovanie zahŕňajúce zariadenia iOS 26. Pochopenie a správne extrahovanie týchto artefaktov vyžaduje aktualizované forenzné nástroje a pozornosť na vyvíjajúcu sa štruktúru, ktorú spoločnosť Apple využíva v iOS 26.
Odkazy na tieto aktualizácie pochádzajú z nedávnych príspevkov forenzných expertov a organizácií, ako sú Magnet Forensics, N1 Discovery a Hexordia, ktorí vykonali rozsiahly výskum a zdieľali zistenia o technikách forenznej analýzy a artefaktov iOS 26.