Судові артефакти, залишені оновленнями та резервними копіями iOS 26

Огляд iOS 26 криміналістичних артефактів

Стрибок від iOS 18 до iOS 26 приніс значні зміни в архітектурі системи, досвіду користувачів та як керуються та зберігаються дані. Сюди входять оновлені системи обміну повідомленнями, нові функції AI та загальна зміна UX з назвою «Рідке скло». Ці зміни впливають на місця даних, формат та доступність для криміналістичних цілей.

Нові та оновлені артефакти обміну повідомленнями

iOS 26 покращує систему обміну повідомленнями, зберігаючи складні потоки повідомлень та різні типи вмісту. Спеціалісти з криміналістики визначили:

- Розширені метадані та контекст повідомлення, що зберігаються в структурованих форматах, які містять детальніше про доставку повідомлень, статус читання та учасників потоку.
- Записи привидів або залишки видалених повідомлень та потоків чатів. Сюди можна віднести сліди розмов, які користувачі видалили з своїх пристроїв, але все ще можуть мати затяжні метадані або залишкові дані в системних журналах або резервних копіях.
- Політика утримання на повідомленнях має критичний ефект. Починаючи з iOS 8, користувачі можуть встановити утримання повідомлень до 30 днів, 1 рік або назавжди. Зміна налаштувань утримання впливає на наявність або відсутність органів повідомлень та пов'язаних з ними метаданих на пристроях та в резервному копії iCloud.
- Видалені докази повідомлень все ще можуть бути присутніми в резервних копіях або через системні журнали, що дозволяє частково реконструкція попередніх комунікацій.

резервні артефакти та виклики

iOS 26 продовжує сильно покладатися на резервні копії iTunes (або зашифровані, або незашифровані) для вилучення криміналістичних даних:

- зашифровані резервні копії пропонують доступ до більшої кількості категорій даних, таких як журнали дзвінків, дані про здоров'я Apple та історія браузерів.
- Паролі шифрування можуть вимагати розтріскування, хоча, оскільки iOS 11 Скидання резервного пароля можливе за допомогою "Скидання всіх налаштувань", яка втрачає деякі налаштування.
- Apple реалізувала автоматизовану вакуумну бази даних SQLite під час резервного копіювання, що впливає на те, як видалені або залишкові дані можуть бути відновлені з резервних баз даних.
- Резервні копії можуть включати артефакти, пов'язані з програмами користувачів, які діляться документами та мультимедійними файлами.

Артефакти системи та журналу

Системні журнали та діагностичні файли в iOS 26 стали життєво важливими джерелами криміналістичних даних:

- Уніфіковані журнали, представлені з моменту iOS 10, зараз є ще більш всебічними, що забезпечують детальну системну та застосувальну діяльність, включаючи події безпеки, спроби аутентифікації та взаємодії користувачів.
- Результати команд архівів Sysdiagnose Files та системні дані для поглибленого аналізу.
- Live Syslog фіксує події пристроїв у режимі реального часу до переривання журналу, корисно для співвідношення подій.
- Журнали аварії можуть не містити дані користувачів, але допомагають зрозуміти терміни виконання програми та виявити активність зловмисного програмного забезпечення.

AI та функції інтелекту

IOS 26 включає функції, керовані AI, які залишають нові сліди метаданих та артефакти:

- Використання AI у обміні повідомленнями та відстеження поведінки користувачів генерує додаткові метадані щодо взаємодій та контексту, які можуть з’явитися в базах даних додатків.
- Рамки Apple Intelligence зберігають сліди діяльності, що підтримують AI, поза типовими точками даних комунікації.

Фізичні та логічні міркування

Інструменти вилучення криміналістичних даних, такі як Magnet Grayse та Verakey, були оновлені для підтримки iOS 26, гарантуючи, що слідчі можуть безперебійно отримати доступ до останніх пристроїв та версій. Критичні точки вилучення включають:

- AFC (Apple File Connection) Сервісні шляхи, такі як `/private/var/mobile/media/`, що містять дані мультимедійних та фотографій користувачів.
- Послуга блокування, що надає інформацію про пристрої (ім'я, версія iOS, ідентифікатори).
- Спільні документи папки додатків для даних, що стосуються додатків.
- Логічні вилучення через резервні копії iTunes або доступ AFC до файлів на рівні користувача.

криміналістичні наслідки утримання та видалення

Одним з важливих проблем в криміналістиці iOS є налаштування збереження даних:

- Коли утримання повідомлення встановлено на будь -що, крім назавжди, дані старіші повідомлення систематично видаляються як з пристрою, так і з iCloud, зменшуючи доступні криміналістичні докази.
- Записи привидів вказують на тінь видалених або змінених даних і можуть вказувати на спроби придушити або знищити докази.
- Слідчим рекомендується перевірити наявність резервного копіювання, оскільки резервні копії можуть мати більш широкі історичні дані, незважаючи на видалення на самому пристрої.

Підсумок ключових артефактів за категорією

- Повідомлення: покращені метадані повідомлення, залишки привидів повідомлень, метадані AI.
- Резервні копії: зашифровані/незашифровані резервні копії iTunes; База даних вакуумні впливи.
- Журнали: Уніфіковані журнали системи, файли sysdiagnose, журнали збоїв, живі сислоги.
- Дані користувача: мультимедійні файли, спільні документи додатків.
- Інформація про систему: Виходи служби блокування, включаючи ідентифікатори пристрою.
- Особливості AI: нові контекстні метадані від використання AI.

Ці артефакти виявляють комунікації користувачів, взаємодію пристроїв, системні події та забезпечують відстеження шляхів для розслідувань, що охоплюють кримінальні справи, інциденти з кібербезпеки та корпоративні запити, що стосуються пристроїв iOS 26. Розуміння та належне вилучення цих артефактів вимагає оновлених криміналістичних інструментів та уваги до структури, що розвивається, Apple використовує в iOS 26.