IOS 26 tutvustab olemasolevatele mitmeid kohtuekspertiisi esemeid ja värskendusi, millest digitaalsed kohtuekspertiidid peavad seadmete ja varukoopiate analüüsimisel olema teadlikud. Need artefaktid pakuvad võtme ülevaate kasutaja tegevuse, süsteemisündmuste, suhtluse ja muu kohta, kuid kaasnevad ka keerukusega, mis on seotud opsüsteemi andmestruktuuride ja säilituspoliitikaga.
Ülevaade iOS 26 kohtuekspertiisist
Hüpe iOS 18 -st iOS 26 -st tõi süsteemi arhitektuuris olulisi muudatusi, kasutajakogemust ning andmeid hallatavate ja salvestamise osas. See hõlmab uuendatud sõnumisüsteeme, uudseid AI -funktsioone ja üldist UX -i muudatust nimega â vedelklaas. Need muudatused mõjutavad andmekohti, vormingut ja juurdepääsetavust kohtuekspertiisidel.
Uued ja värskendatud sõnumside esemed
iOS 26 täiustab sõnumside süsteemi, säilitades keerulised sõnumniidid ja erinevad sisutüübid. Kohtuekspertiisi spetsialistid on tuvastanud:
- Laiendatud metaandmed ja sõnumite kontekst, mis on salvestatud struktureeritud vormingutes, millel on lisateavet sõnumite edastamise, loetud oleku ja lõimes osalejate kohta.
- Kummitusplaadid või kustutatud sõnumite ja vestluslõnga jäänused. Need võivad hõlmata vestluste jälgi, mille kasutajad on oma seadmetest kustutanud, kuid võivad siiski olla püsivad metaandmed või järelejäänud andmed süsteemilogides või varukoopiates.
- Sõnumite säilituspoliitika on kriitiline mõju. Kuna iOS 8, saavad kasutajad seada sõnumi säilitamise 30 päeva, 1 aasta või igavesti. Muutumisseaded mõjutavad sõnumikehade ja nendega seotud metaandmete olemasolu või puudumist seadmetes ja iCloudi varukoopiates.
- Kustutatud sõnumite tõendusmaterjal võib endiselt olla varukoopiates või süsteemilogides, võimaldades varasema suhtluse osalist rekonstrueerimist.
Varukoopia esemed ja väljakutsed
iOS 26 tugineb kohtuekspertiisi andmete ekstraheerimisel jätkuvalt iTunes'i varukoopiatele (kas krüptitud või krüptita):
- Krüptitud varukoopiad pakuvad juurdepääsu rohkematele andmekategooriatele, näiteks kõnelogidele, Apple'i terviseandmetele ja brauseri ajalugu.
- Krüptimisparoolid võivad nõuda pragunemist, ehkki kuna iOS 11 on varuparooli lähtestamine võimalik, lähtestage kõik sätted, mis kaotavad mõned seaded.
- Apple on varundamise ajal rakendanud automatiseeritud SQLITE andmebaasi vaakumi, mis mõjutab varude andmebaasidest kustutatud või jääkandmete saamist.
- Varukoopiad võivad sisaldada kasutajarakendustega seotud esemeid, mis jagavad dokumente ja multimeediumfaile.
Süsteemi ja logifaktid
Süsteemilogidest ja diagnostilistest failidest on iOS 26 muutunud kohtuekspertiisi olulistest allikatest:
- Ühendatud logid, mis on kasutusele võetud alates iOS 10 -st on nüüd veelgi põhjalikumad, pakkudes üksikasjalikke süsteemi- ja rakendustegevusi, sealhulgas turvaüritusi, autentimiskatseid ja kasutaja suhtlemist.
- SysDiagnose Files arhiivikäskude tulemused ja süsteemi andmed põhjaliku analüüsi jaoks.
- Live Syslog jäädvustab reaalajas seadme sündmusi, kuni logimine on katkestatud, mis on kasulik sündmuste korrelatsioonis.
- Krahhi logid ei pruugi sisaldada kasutajaandmeid, vaid aidata aru saada rakenduste täitmise ajakavadest ja tuvastada pahavara aktiivsust.
AI ja luureomadused
iOS 26 sisaldab AI-põhiseid funktsioone, mis jätavad uued metaandmete jäljed ja esemed:
- AI kasutamine sõnumside ja kasutajakäitumise jälgimisel genereerib täiendavaid metaandmeid interaktsioonide ja konteksti kohta, mis võib esineda rakenduste andmebaasides.
- Apple'i luureraamistikud salvestavad AI-abistatavate tegevuste jälgi kaugemale tüüpilistest kommunikatsiooniandmepunktidest.
Füüsilised ja loogilised kaevandamise kaalutlused
IOS 26 toetamiseks on värskendatud kohtuekspertiisi andmete kaevandamise tööriistu nagu Magnet Graykey ja Verakey, tagades, et uurijad pääsevad uusimatele seadmetele ja versioonidele sujuvalt juurde. Kriitilised ekstraheerimispunktid hõlmavad:
- AFC (Apple File Connection) teenuseteed nagu `/privaatne/var/mobiil/meedium/` sisaldavad kasutaja multimeedium- ja fotode rakenduse andmeid.
- Lukustamisteenus, mis pakub seadme teavet (nimi, iOS -i versioon, identifikaatorid).
- APP-spetsiifiliste andmete jagatud rakenduste kaustad jagatud dokumendid.
- Loogilised ekstraheerimised iTunes'i varukoopiate kaudu või AFC juurdepääs kasutajataseme failidele.
Käsitlemise ja kustutamise kohtuekspertiisi mõju
Üks oluline väljakutse iOS -i kohtuekspertiisis on andmete säilitamise sätted:
- Kui sõnumi säilitamine on seatud muule kui igavesti, eemaldatakse vanemate sõnumite andmed süstemaatiliselt nii seadmest kui ka iCloudist, vähendades olemasolevaid kohtuekspertiisi tõendeid.
- Ghost Records näitavad kustutatud või muudetud andmete varju ja võivad osutada tõendite häbistamise või hävitamise katsetele.
- Uurijatel soovitatakse kontrollida varundamise kättesaadavust, kuna varukoopiad võivad vaatamata seadme enda kustutamisele ulatuslikumaid ajaloolisi andmeid hoida.
Peamiste esemete kokkuvõte kategooriate kaupa
- Sõnumid: täiustatud teadete metaandmed, kummitatud sõnumite jäänused, AI metaandmed.
- varukoopiad: krüptitud/krüptimata iTunes varukoopiad; Andmebaasi vaakumi mõjud.
- Logid: ühtsed süsteemilogid, sysDiagnose failid, krahhi logid, live -syslogid.
- Kasutajaandmed: multimeediumfailid, jagatud rakendusdokumendid.
- Süsteemi teave: lukustamisteenuse väljundid koos seadme identifikaatorid.
- AI omadused: uued kontekstilised metaandmed AI kasutamisest.
Need artefaktid näitavad kasutaja suhtlust, seadmete koostoimeid, süsteemiüritusi ja pakuvad jälitusteed kriminaalasjade, küberturvalisuse juhtumite ja iOS 26 seadmetega seotud ettevõtete uurimise uurimiseks. Nende esemete mõistmine ja õigesti kaevandamine nõuab ajakohastatud kohtuekspertiisi tööriistu ja tähelepanu arenevale struktuurile, mida Apple kasutab iOS 26 -s.
Viited nende värskenduste jaoks pärinevad kohtuekspertide ja organisatsioonide, näiteks Magnet kohtuekspertiisi, N1 Discovery ja Hexordia, hiljutistest panustest, kes on läbi viinud ulatuslikke uuringuid ja jaganud leide iOS 26 kohtuekspertiisi tehnikate ja esemete kohta.