Es ist fast dreieinhalb Monate her, dass der unabhängige Forscher axi0mX das bahnbrechende Exploit “checkm8” veröffentlicht hat. Unser neuester Blog “iOS Breakthrough Enables Lawful Access for Full File System Extraction” (iOS-Durchbruch ermöglicht rechtmäßigen Zugriff für die vollständige Extraktion des Dateisystems) gab eine Einführung in die Grundlagen. In diesem Blog konzentrieren wir uns auf die forensische Verwendung von checkkm8 und stellen die erste umfassende Implementierung des Exploits in der digitalen Forensik-Welt, die in der UFED-Lösung von Cellebrite zur Verfügung gestellt wird.

So verwendet die digitale Forensik derzeit checkkm8 und checkra1n

Der erste Einsatz von checkkm8 in der Forensik begann kurz nach dem 10. November, als eine Gruppe von Forschern den ersten Jailbreak zur Nutzung des checkkm8-Exploits, genannt checkra1n, veröffentlichte. Dieser neue Jailbreak wurde schnell angenommen und von den Prüfern verwendet, um Dateisystemextraktionen von “jailbroken” iOS-Geräten zu erhalten.

Um checkra1n verwenden zu können, mussten bei einigen Geräten zusätzliche Dienste wie Cydia oder AFC2 (Apple File Conduit 2) installiert werden, während andere direkt mit dem SSH-Protokoll arbeiteten. checkra1n war eine große Errungenschaft, seine Einführung hatte jedoch aus den drei wichtigsten Gründen nur geringe Auswirkungen auf die Mehrheit der Prüfer:

  1. Jailbreak-basierte Methoden gelten als forensisch “weniger” fundiert
  2. Der Prüfer benötigte eine macOS-Workstation, um das Drittanbieter-Tool checkra1n anzuwenden
  3. Unter dem zeitkritischen Zeitplan des Prüfers machte der mehrstufige (und manchmal fehleranfällige) Prozess diesen weniger attraktiv

UFED 7.28 ermöglicht es checkm8, vollständige Dateisystemextraktionen durchzuführen

Um von den Vorteilen des checkkm8-Exploits zu profitieren, erwarten typische Prüfer eine einfach zu bedienende, von Experten erprobte Komplettlösung. Aus diesem Grund hat Cellebrite UFED 7.28 eingeführt – eine neue UFED-Version, in der checkkm8 vollständig integriert ist. (Die Lösung ist auf den UFED 4PC- und Touch 2-Plattformen von Cellebrite verfügbar.)

UFED unterstützt jetzt vollständige Dateisystemextraktionen, die auch die Schlüsselketten-Extraktion von entsperrten iOS-Geräten (bekannter Passcode oder keiner festgelegt) und ein partielles Dateisystem (vor der ersten Entsperrung) von gesperrten Geräten mit unbekanntem Passcode umfassen. Die folgende Tabelle zeigt die unterstützten Geräte und iOS-Versionen:

Unterstützte Geräte und iOS-Versionen – UFED 7.28

Gerät (SoC)

Minimale iOS-Version

Neueste iOS-Version*

iPhone 5S (A7)

12.3

12.4.4

iPhone 6 | iPhone 6 +(A8)

12.3

12.4.4

iPhone 6S | iPhone 6S + (A9)

12.3

13.3

iPhone SE (A9)

12.3

13.3

iPhone 7 | iPhone 7+ (A10)

12.3

13.3

iPhone 8 | iPhone 8+ (A11)

12.3

13.3

iPhone X (A11)

12.3

13.3

*Neueste in UFED verifizierte iOS-Version

In Zukunft wird die neueste iOS-unterstützte Version laufend aktualisiert.

Um Verwechslungen mit den Begriffen “vollständiges Dateisystem” und “partielles Dateisystem” (BFU) zu vermeiden und um zu verdeutlichen, was auf jedem Gerät mit UFED möglich ist, schlagen wir vor, das folgende Entscheidungsablaufdiagramm zu verwenden. Für gesperrte Geräte mit unbekanntem Passcode wenden Sie sich an Cellebrite, um zusätzliche Unterstützung zu erhalten.

Abb. 1 Checkm8-Entscheidungsdiagramm

So finden Sie die neue Methode

Für jedes Gerät in der obigen Tabelle haben wir unter “Advanced Logical” eine neue Methode (Schaltfläche) namens “Full-File System” (checkkm8) hinzugefügt. Durch Klicken auf die Schaltfläche gelangen Sie zu einem Bildschirm mit allgemeinen Anweisungen, der zeigt, wie das Gerät in den Modus “Device Firmware Update” (DFU) gesetzt wird.

Ein Gerät in den DFU zu setzen, kann sich als etwas knifflig erweisen. Folgen Sie daher den für die aufgelisteten iPhone-Versionen aufgeführten Schritte. Die Schaltfläche “Continue” ist nur aktiviert, wenn sich das Gerät im DFU befindet. Sie können sehen, ob der Angriff erfolgreich ist, indem Sie auf den iPhone-Bildschirm schauen, um zu sehen, ob der Cellebrite-iOS-Client angezeigt wird.

DFU-Leitfaden


iPhone 5S | iPhone 6 | iPhone 6+ | iPhone 6S | iPhone 6S+ | iPhone SE

  1. Setzen Sie das Gerät in den Wiederherstellungsmodus. (Das Apple iTunes-Logo sollte angezeigt werden.)
  2. Drücken Sie die Power-Taste drei Sekunden lang.
  3. Halten Sie nach drei Sekunden gleichzeitig die Power- und die Home-Taste weitere 10 Sekunden lang gedrückt.
  4. Lassen Sie die Power-Taste los, während Sie die Home-Taste weitere fünf Sekunden lang gedrückt halten.
  5. UFED “Continue” sollte jetzt aktiviert sein.


iPhone 7 | iPhone 7+

  1. Setzen Sie das Gerät in den Wiederherstellungsmodus. (Das Apple iTunes-Logo sollte angezeigt werden.)
  2. Halten Sie gleichzeitig die Power-Taste die Taste “Lautstärke leiser” 10 Sekunden lang gedrückt.
  3. Lassen Sie die Power-Taste los, während Sie die Taste “Lautstärke leiser” weitere 10 Sekunden lang gedrückt halten.
  4. UFED “Continue” sollte jetzt aktiviert sein.

iPhone 8 | iPhone 8+ | iPhone X

  1. Setzen Sie das Gerät in den Wiederherstellungsmodus. (Das Apple iTunes-Logo sollte angezeigt werden.)
  2. Drücken Sie auf dem Wiederherstellungsbildschirm kurz die Taste “Lautstärke lauter”.
  3. Drücken Sie kurz die Taste “Lautstärke leiser”.
  4. Drücken und halten Sie die Seitentaste gedrückt, bis der Bildschirm vollständig ausgeschaltet wird.
  5. Halten Sie gleichzeitig die Seitentaste und die Taste “Lautstärke leiser” fünf Sekunden lang gedrückt.
  6. Lassen Sie die Seitentaste los, während Sie die Taste “Lautstärke leiser” weitere 10 Sekunden lang gedrückt halten.
  7. UFED “Continue” sollte jetzt aktiviert sein.


Die Zukunft von checkm8

Der checkkm8-Pfad in UFED steht erst am Anfang. Neue Betriebssystemversionen können zusätzliche Forschung und Entwicklung erfordern, um sie zu unterstützen; die Zeit wird zeigen, wie viel Aufwand erforderlich sein wird. In zukünftigen Versionen könnte checkm8 den Prüfern die Möglichkeit bieten, tiefe, “selektive” Extraktionen durchzuführen, um bestimmte Anwendungen oder Dateien direkt zu extrahieren, was wertvolle Zeit bei den Ermittlungen sparen wird.

Die Zukunft sieht spannend aus, und wir bei Cellebrite versprechen, dass wir Ihnen weiterhin die besten Tools für die digitale Intelligenz liefern werden, die Sie erwarten. Bleiben Sie dran.

Diesen Beitrag teilen