Forenzné artefakty, ktoré zanechali aktualizácie a zálohy iOS 26

Prehľad forenzných artefaktov iOS 26

Skok z iOS 18 na iOS 26 priniesol významné zmeny v architektúre systému, užívateľské skúsenosti a spôsob, akým sa údaje spravujú a ukladajú. To zahŕňa prepracované systémy zasielania správ, nové funkcie AI a celkovú zmenu UX s názvom „Tekuté sklo. Tieto zmeny vplyvy dátových údajov, formát a dostupnosť na forenzné účely.

Nové a aktualizované artefakty správ

iOS 26 vylepšuje systém správ a zachováva komplexné vlákna správy a rôzne typy obsahu. Forenzní špecialisti identifikovali:

- Rozšírené metadáta a kontext správ uložené v štruktúrovaných formátoch, ktoré obsahujú viac podrobností o doručovaní správ, čítaní stavu a účastníkov vlákna.
- Duchové záznamy alebo zvyšky odstránených správ a vlákien chatu. Môže to zahŕňať stopy konverzácií, ktoré používatelia odstránili zo svojich zariadení, ale stále môžu mať pretrvávajúce metadáta alebo zvyškové údaje v systémových protokoloch alebo zálohách.
- Politiky retencie správ majú kritický účinok. Od systému iOS 8 môžu používatelia nastaviť udržanie správ na 30 dní, 1 rok alebo navždy. Zmena nastavení retencie ovplyvňuje prítomnosť alebo neprítomnosť orgánov správ a súvisiace metadáta na zariadeniach a v zálohách iCloud.
- Odstránené dôkazy o správe môžu byť stále prítomné v zálohách alebo prostredníctvom systémových protokolov, čo umožňuje čiastočnú rekonštrukciu predchádzajúcich komunikácií.

záložné artefakty a výzvy

iOS 26 sa naďalej spolieha na zálohy iTunes (buď šifrované alebo nešifrované) na forenznú extrakciu údajov:

- Šifrované zálohy ponúkajú prístup k viacerým kategóriám údajov, ako sú protokoly hovorov, údaje o zdraví spoločnosti Apple a história prehliadača.
- Heslá šifrovania môžu vyžadovať praskanie, hoci keďže iOS 11 resetovanie zálohovacieho hesla je možné s resetom všetkých nastavení, ktoré prepadnú niektoré nastavenia.
- Spoločnosť Apple implementovala automatizované vysávanie databázy SQLite počas zálohovania, čo ovplyvňuje spôsob, akým je možné vymazané alebo zvyškové údaje získať zo záložných databáz.
- Zálohy môžu obsahovať artefakty týkajúce sa užívateľských aplikácií, ktoré zdieľajú dokumenty a multimediálne súbory.

Systémové a denné artefakty

Systémové protokoly a diagnostické súbory v iOS 26 sa stali dôležitými zdrojmi forenzných údajov:

- Unifikované denníky zavedené od IOS 10 sú teraz ešte komplexnejšie a poskytujú podrobné aktivity systému a aplikácií vrátane bezpečnostných udalostí, pokusov o autentifikáciu a interakcií používateľov.
- Sysdiagnózne súbory Výsledky príkazu archív a systémové údaje pre hĺbkovú analýzu.
- Live Syslog zachytáva udalosti zariadenia v reálnom čase, až kým nie je prerušené protokolovanie, užitočné na koreláciu udalostí.
- Protokoly havárie nemusia obsahovať údaje používateľa, ale pomáhajú porozumieť časovým harmonogramom vykonávania aplikácie a zisťovať aktivitu škodlivého softvéru.

AI a inteligencia funkcie

IOS 26 zahŕňa funkcie riadené AI, ktoré zanechávajú nové stopy metadát a artefakty:

- Použitie AI pri sledovaní správ a sledovanie správania používateľov generuje ďalšie metadáta o interakciách a kontexte, ktoré sa môžu objaviť v databázach aplikácií.
- Rámec inteligencie spoločnosti Apple ukladá stopy aktivít podporovaných AI, nad rámec typických komunikačných dátových bodov.

Fyzické a logické úvahy o extrakcii

Forenzné nástroje na extrakciu údajov, ako je Magnet Graykey a Verrakey, boli aktualizované, aby podporovali iOS 26, čo vyšetrovateľom bude mať prístup k najnovším zariadeniam a verziám hladko. Kritické extrakčné body zahŕňajú:

- AFC (Apple File Connection) Servisné cesty ako `/private/var/mobile/médium/` obsahujúce multimédiá a údaje o aplikáciách používateľa.
- poskytovanie služieb poskytujúcich poskytovanie informácií o zariadení (názov, verzia systému iOS, identifikátory).
- Zdieľané dokumenty priečinkov aplikácií pre údaje špecifické pre aplikáciu.
- Logické extrakcie prostredníctvom záloh iTunes alebo AFC prístup k súborom na úrovni používateľov.

Forenzné dôsledky retencie a vymazania

Jednou z významných výziev v forenznom systéme iOS je nastavenia uchovávania údajov:

- Ak je zadržanie správy nastavené na čokoľvek iné ako na večne, staršie údaje správ sa systematicky odstránia zo zariadenia aj iCloud, čím sa znižuje dostupné forenzné dôkazy.
- Záznamy duchov naznačujú tieň vymazaných alebo zmenených údajov a môžu poukazovať na pokusy o zahmlievanie alebo zničenie dôkazov.
- Vyšetrovateľom sa odporúča skontrolovať dostupnosť zálohovania, pretože zálohy môžu obsahovať rozsiahlejšie historické údaje napriek deléciám na samotnom zariadení.

Zhrnutie kľúčových artefaktov podľa kategórie

- Správy: Vylepšené metadáta správ, zvyšky strašidelnej správy, metadáta AI.
- zálohy: šifrované/nešifrované zálohy iTunes; Vplyv na vysávanie databázy.
- denníky: Unifikované protokoly systému, súbory sysdiagnózy, protokoly havárie, živé syslogy.
- Užívateľské údaje: multimediálne súbory, zdieľané dokumenty aplikácie.
- Informácie o systéme: Výstupy služieb zámku vrátane identifikátorov zariadenia.
- Funkcie AI: Nové kontextové metadáta z používania AI.

Tieto artefakty odhaľujú komunikáciu používateľov, interakcie zariadení, systémové udalosti a poskytujú sledovacie cesty pre vyšetrovania pokrývajúce trestné prípady, incidenty v oblasti kybernetickej bezpečnosti a podnikové vyšetrovanie zahŕňajúce zariadenia iOS 26. Pochopenie a správne extrahovanie týchto artefaktov vyžaduje aktualizované forenzné nástroje a pozornosť na vyvíjajúcu sa štruktúru, ktorú spoločnosť Apple využíva v iOS 26.