Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Forenzični artefakti, ki jih zapušča iOS 26 posodobitve in varnostne kopije


Forenzični artefakti, ki jih zapušča iOS 26 posodobitve in varnostne kopije


IOS 26 uvaja več novih forenzičnih artefaktov in posodobitev obstoječih, ki jih morajo digitalni forenzični preiskovalci zavedati pri analizi naprav in varnostnih kopij. Ti artefakti zagotavljajo ključni vpogled v uporabniško dejavnost, sistemske dogodke, komunikacije in drugo, hkrati pa prihajajo tudi do zapletenosti, povezanih s podatkovnimi strukturami operacijskega sistema in politikami zadrževanja.

Pregled iOS 26 forenzičnih artefaktov

Preskok iz iOS 18 na iOS 26 je prinesel pomembne spremembe v arhitekturi sistema, uporabniške izkušnje in o upravljanju in shranjevanju podatkov. To vključuje prenovljene sisteme za sporočanje, nove funkcije AI in celotno spremembo UX z imenom  tekoče steklo. Te spremembe vplivajo na lokacije podatkov, format in dostopnost za forenzične namene.

Novi in ​​posodobljeni artefakti sporočila

iOS 26 izboljšuje sistem sporočanja, ohrani zapletene niti sporočil in različne vrste vsebin. Strokovnjaki forenzike so ugotovili:

- Razširjeni metapodatki in kontekst sporočil, shranjeni v strukturiranih formatih, ki vsebujejo več podrobnosti o dostavi sporočil, stanju branja in udeležencih niti.
- Ghost zapisi ali ostanki izbrisanih sporočil in niti klepeta. Ti lahko vključujejo sledi pogovorov, ki so jih uporabniki izbrisali iz svojih naprav, vendar imajo lahko še vedno dolgotrajne metapodatke ali preostale podatke v sistemskih dnevnikih ali varnostnih kopijah.
- Politike zadrževanja na sporočilih imajo kritičen učinek. Od iOS 8 lahko uporabniki zadrževanje sporočil nastavijo na 30 dni, 1 leto ali za vedno. Spreminjanje nastavitev zadrževanja vpliva na prisotnost ali odsotnost sporočil in z njimi povezanih metapodatkov na napravah in v varnostnih kopijah iCloud.
- Izbrisani sporočili so lahko še vedno prisotni v varnostnih kopijah ali v sistemskih dnevnikih, kar omogoča delno obnovo prejšnjih komunikacij.

Varnostno kopiranje artefaktov in izzivi

iOS 26 se še naprej močno zanaša na varnostne kopije iTunes (bodisi šifrirane ali nešifrirane) za pridobivanje forenzičnih podatkov:

- Šifrirane varnostne kopije ponujajo dostop do več kategorij podatkov, kot so dnevniki klicev, podatki o zdravju Apple in zgodovina brskalnika.
- Šifriranje gesel lahko zahtevajo razpokanje, čeprav je iOS 11 ponastavitev varnostnega gesla z možno z  Ponastavi vse nastavitve, ki zapira nekatere nastavitve.
- Apple je med varnostno kopijo izvedel avtomatizirano sesanje baze podatkov SQLite, kar vpliva na to, kako lahko izbrisane ali preostale podatke povrnejo iz baznih baz podatkov.
- Varnostne kopije lahko vključujejo artefakte, povezane z uporabniškimi aplikacijami, ki delijo dokumente in večpredstavnostne datoteke.

Artefakti sistema in dnevnikov

Sistemski dnevniki in diagnostične datoteke v iOS 26 so postali ključni viri forenzičnih podatkov:

- Poenoteni dnevniki, uvedeni, saj so iOS 10 zdaj še bolj celoviti, zagotavljajo podrobne sistemske in aplikacijske dejavnosti, vključno z varnostnimi dogodki, poskusi preverjanja pristnosti in interakcijami uporabnikov.
- Sysdiagnose Files Arhiv Rezultati ukazov in sistemske podatke za poglobljeno analizo.
- Live Syslog zajame dogodke v realnem času, dokler se beleženje ne prekine, uporaben za korelacijske dogodke.
- Dnevniki zrušitve ne smejo vsebovati uporabniških podatkov, ampak pomagajo razumeti časovne roke izvajanja aplikacije in zaznati aktivnost zlonamerne programske opreme.

AI in inteligenčne funkcije

iOS 26 vključuje funkcije, ki jih poganja AI, ki puščajo nove metapodatke in artefakte:

- Uporaba AI pri sporočanju in sledenju vedenja uporabnikov ustvarja dodatne metapodatke o interakcijah in kontekstu, ki se lahko pojavijo v bazah aplikacij.
- Apple Intelligence Frameworks shrani sledi dejavnosti, ki jih AI-asisticirajo, razen tipičnih točk komunikacij.

Fizični in logični ekstrakcijski pomisleki

Orodja za pridobivanje forenzičnih podatkov, kot sta Magnet Graykey in Verakey, so posodobljena za podporo iOS 26, s čimer zagotovijo, da lahko preiskovalci nemoteno dostopajo do najnovejših naprav in različic. Kritične točke ekstrakcije vključujejo:

- AFC (Apple File Connection) Servisne poti, kot so `/Private/Var/Mobile/Media/` vsebujejo podatke o večpredstavnostnih aplikacijah za večpredstavnostne in fotografije.
- Zaklepna storitev, ki zagotavlja informacije o napravi (ime, različica iOS, identifikatorji).
- Skupne mape dokumentov aplikacij za podatke, specifične za aplikacijo.
- Logične ekstrakcije prek varnostnih kopij iTunes ali AFC dostop do datotek na ravni uporabnika.

Forenzične posledice zadrževanja in delecije

Pomemben izziv pri forenziki iOS so nastavitve zadrževanja podatkov:

- Ko je zadrževanje sporočil nastavljeno na karkoli drugega kot za vedno, se starejši podatki o sporočilih sistematično odstranijo tako iz naprave kot iz iCloud, kar zmanjšuje razpoložljive forenzične dokaze.
- Zapisi o GHOST kažejo na senco izbrisanih ali spremenjenih podatkov in lahko kažejo na poskuse prikrivanja ali uničenja dokazov.
- Preiskovalcem svetujemo, da preverijo varnostno kopijo razpoložljivosti, saj lahko varnostne kopije vsebujejo obsežnejše zgodovinske podatke kljub delecijam na sami napravi.

Povzetek ključnih artefaktov po kategoriji

- Sporočila: Izboljšana sporočila Metapodatkov, ostanki sporočil, metapodatki AI.
- varnostne kopije: šifrirane/nešifrirane varnostne kopije iTunes; Udarci za sesanje podatkovnih baz.
- Dnevniki: enotni sistemski dnevniki, datoteke sysdiagnostit, dnevniki zrušitve, žive syslogs.
- Uporabniški podatki: večpredstavnostne datoteke, skupne dokumente aplikacij.
- Informacije o sistemu: Izhodi za zaklepanje, vključno z identifikatorji naprav.
- Funkcije AI: Novi kontekstualni metapodatki iz uporabe AI.

Ti artefakti razkrivajo komunikacijo uporabnikov, interakcije naprav, sistemske dogodke in zagotavljajo sledilne poti za preiskave, ki obsegajo kazenske primere, incidente kibernetske varnosti in korporativne poizvedbe, ki vključujejo naprave iOS 26. Razumevanje in pravilno pridobivanje teh artefaktov zahteva posodobljena forenzična orodja in pozornost na razvijajočo se strukturo, ki jo Apple uporablja v iOS 26.

Reference za te posodobitve izhajajo iz nedavnih prispevkov forenzičnih strokovnjakov in organizacij, kot so magnetna forenzika, N1 Discovery in Hexordia, ki so izvedli obsežne raziskave in delili ugotovitve o tehnikah in artefaktih forenzične analize iOS 26.