Các hiện vật pháp y để lại bởi iOS 26 Cập nhật và sao lưu

Tổng quan về các tạo tác pháp y iOS 26

Bước nhảy vọt từ iOS 18 đến iOS 26 đã mang lại những thay đổi đáng kể trong kiến ​​trúc, trải nghiệm người dùng của hệ thống và cách quản lý và lưu trữ dữ liệu. Điều này bao gồm các hệ thống nhắn tin được tân trang lại, các tính năng AI mới và thay đổi UX tổng thể có tên là Thủy tinh lỏng. Những thay đổi này tác động đến các vị trí dữ liệu, định dạng và khả năng truy cập cho mục đích pháp y.

Các hiện vật nhắn tin mới và cập nhật

IOS 26 tăng cường hệ thống nhắn tin, giữ lại các luồng tin nhắn phức tạp và các loại nội dung khác nhau. Các chuyên gia pháp y đã xác định:

- Siêu dữ liệu mở rộng và bối cảnh tin nhắn được lưu trữ trong các định dạng có cấu trúc, chứa thêm chi tiết về gửi tin nhắn, trạng thái đọc và người tham gia luồng.
- Hồ sơ ma hoặc tàn dư của các tin nhắn đã xóa và các luồng trò chuyện. Chúng có thể bao gồm dấu vết của các cuộc hội thoại mà người dùng đã xóa khỏi thiết bị của họ nhưng vẫn có thể có siêu dữ liệu kéo dài hoặc dữ liệu còn lại trong nhật ký hệ thống hoặc sao lưu.
- Chính sách duy trì trên các thông điệp có tác dụng quan trọng. Kể từ iOS 8, người dùng có thể đặt lưu giữ tin nhắn thành 30 ngày, 1 năm hoặc mãi mãi. Thay đổi cài đặt lưu giữ tác động đến sự hiện diện hoặc vắng mặt của các cơ quan tin nhắn và siêu dữ liệu liên quan trên các thiết bị và trong các bản sao lưu iCloud.
- Bằng chứng tin nhắn đã xóa vẫn có thể có trong các bản sao lưu hoặc thông qua nhật ký hệ thống, cho phép tái cấu trúc một phần các liên lạc trước đó.

##

iOS 26 tiếp tục phụ thuộc rất nhiều vào các bản sao lưu iTunes (được mã hóa hoặc không được mã hóa) để trích xuất dữ liệu pháp y:

- Các bản sao lưu được mã hóa cung cấp quyền truy cập vào nhiều danh mục dữ liệu hơn như nhật ký cuộc gọi, dữ liệu sức khỏe của Apple và lịch sử trình duyệt.
- Mật khẩu mã hóa có thể yêu cầu bẻ khóa, mặc dù vì iOS 11 đặt lại mật khẩu sao lưu là có thể đặt lại tất cả các hành động cài đặt, điều này bị mất một số cài đặt.
- Apple đã triển khai hút bụi cơ sở dữ liệu SQLite tự động trong quá trình sao lưu, ảnh hưởng đến cách dữ liệu bị xóa hoặc còn lại có thể được khôi phục từ cơ sở dữ liệu sao lưu.
- Sao lưu có thể bao gồm các tạo tác liên quan đến các ứng dụng người dùng chia sẻ tài liệu và tệp đa phương tiện.

Hệ thống và các tạo tác nhật ký

Các nhật ký hệ thống và các tệp chẩn đoán trong iOS 26 đã trở thành nguồn dữ liệu pháp y quan trọng:

- Nhật ký hợp nhất được giới thiệu kể từ khi iOS 10 thậm chí còn toàn diện hơn, cung cấp các hoạt động ứng dụng và hệ thống chi tiết, bao gồm các sự kiện bảo mật, các nỗ lực xác thực và tương tác người dùng.
- SYSDIAGNOSE FILE CUNG CẤP KẾT QUẢ Lệnh và dữ liệu hệ thống để phân tích chuyên sâu.
- Syslog trực tiếp nắm bắt các sự kiện thiết bị thời gian thực cho đến khi đăng nhập bị gián đoạn, hữu ích cho các sự kiện tương quan.
- Nhật ký sự cố có thể không chứa dữ liệu người dùng nhưng giúp hiểu các mốc thời gian thực hiện ứng dụng và phát hiện hoạt động phần mềm độc hại.

Các tính năng AI và trí thông minh

iOS 26 kết hợp các tính năng điều khiển AI để lại dấu vết và tạo tác siêu dữ liệu mới:

- Việc sử dụng AI trong theo dõi hành vi nhắn tin và hành vi của người dùng tạo ra siêu dữ liệu bổ sung về các tương tác và bối cảnh có thể xuất hiện trong cơ sở dữ liệu ứng dụng.
- Apple Intelligence Frameworks lưu trữ dấu vết của các hoạt động hỗ trợ AI ngoài các điểm dữ liệu giao tiếp điển hình.

Cân nhắc chiết xuất vật lý và logic

Các công cụ trích xuất dữ liệu pháp y như Magnet Graykey và Verakey đã được cập nhật để hỗ trợ iOS 26, đảm bảo các nhà điều tra có thể truy cập các thiết bị và phiên bản mới nhất một cách trơn tru. Điểm khai thác quan trọng bao gồm:

- Các đường dẫn dịch vụ AFC (Kết nối tệp Apple) như `/private/var/mobile/media/` chứa dữ liệu ứng dụng đa phương tiện và hình ảnh của người dùng.
- Dịch vụ khóa cung cấp thông tin thiết bị (tên, phiên bản iOS, định danh).
- Các thư mục tài liệu được chia sẻ của các ứng dụng cho dữ liệu dành riêng cho ứng dụng.
- Trích xuất logic thông qua các bản sao lưu iTunes hoặc truy cập AFC vào các tệp cấp người dùng.

Ý nghĩa pháp y của việc duy trì và xóa

Một thách thức đáng kể trong pháp y iOS là cài đặt lưu dữ liệu:

- Khi lưu giữ tin nhắn được đặt thành bất cứ thứ gì khác ngoài  mãi mãi, dữ liệu tin nhắn cũ hơn sẽ bị xóa một cách có hệ thống khỏi cả thiết bị và iCloud, giảm bằng chứng pháp y có sẵn.
- Hồ sơ ma cho biết bóng của dữ liệu đã bị xóa hoặc thay đổi và có thể chỉ ra các nỗ lực làm xua tan hoặc phá hủy bằng chứng.
- Các nhà điều tra được khuyên nên kiểm tra tính khả dụng sao lưu, vì các bản sao lưu có thể chứa dữ liệu lịch sử rộng lớn hơn mặc dù đã xóa trên chính thiết bị.

Tóm tắt các hiện vật chính theo thể loại

- Tin nhắn: Siêu dữ liệu thông điệp nâng cao, tàn dư tin nhắn ma, siêu dữ liệu AI.
- Sao lưu: Sao lưu iTunes được mã hóa/không được mã hóa; cơ sở dữ liệu tác động hút bụi.
- Nhật ký: Nhật ký hệ thống hợp nhất, tệp sysdiagnose, nhật ký sự cố, syslog trực tiếp.
- Dữ liệu người dùng: Tệp đa phương tiện, tài liệu ứng dụng được chia sẻ.
- Thông tin hệ thống: Đầu ra dịch vụ khóa bao gồm các định danh thiết bị.
- Các tính năng AI: Siêu dữ liệu theo ngữ cảnh mới từ việc sử dụng AI.

Các tạo tác này cho thấy thông tin liên lạc của người dùng, tương tác thiết bị, sự kiện hệ thống và cung cấp các đường dẫn theo dõi để điều tra các vụ án hình sự, sự cố an ninh mạng và các yêu cầu của công ty liên quan đến thiết bị iOS 26. Hiểu và trích xuất đúng các tạo tác này đòi hỏi các công cụ pháp y được cập nhật và chú ý đến cấu trúc phát triển mà Apple sử dụng trong iOS 26.