==== Uvod =====
Danas su mobilni uređaji postali glavni čuvari naših privatnih i poslovnih informacija. Na njima se nalaze poruke, lokacije, fotografije, ali i podaci iz aplikacija poput mobilnog bankarstva ili društvenih mreža. Često se sve to još dodatno sinkronizira s cloudom.
Kada je riječ o forenzici, iPhone predstavlja poseban izazov. Kompanija Apple koja proizvodi iPhone uredaje dizajnirala je sigurnosni model tako da su ključevi enkripcije vezani uz hardver i korisničku autentikaciju a uz to se koristi dodatni sloj zaštite kroz Security Enclave.
Nekad je potrebno samo otključati uređaj i dobiti pristup aplikacijama, a ponekad je dovoljno izvući određene podatke bez otključavanja, primjerice putem backupa ili iz clouda.


==== 1.1. Apple Platform Security – security by design====

Apple sigurnosni model opisuje kroz službenu dokumentaciju Apple Platform Security,
koja naglašava hardversku enkripciju, integritet sustava i izolaciju osjetljivih komponenti.
Bitna posljedica za forenziku: mnoge klasične tehnike više ne daju automatski čitljive podatke bez
odgovarajućih ključeva i stanja autentikacije.

====1.2. Secure Boot i lanac povjerenja====

iPhone koristi sigurni lanac pokretanja kako bi se spriječilo pokretanje neautoriziranog koda.
Forenzički, to znači da se platforma sustavno brani od modifikacija OS-a kao prečaca do podataka

====1.3. Hardverska enkripcija i upravljanje ključevima====

iOS Data Protection model koristi per-file enkripciju i klase zaštite.
Kada se datoteka otvara, sustav koristi ključeve koji su omotani i čije se rukovanje odvija tako
da ključ nije izravno izložen aplikacijskom procesoru. Dekripciju obavlja hardverski AES mehanizam 
uz posredovanje sigurnosnih komponenti. U praksi to znači čak i ako se dobije sirovi sadržaj pohrane,
bez ispravnih ključeva sadržaj ostaje nečitljiv.

====1.4. Secure Enclave ====

Secure Enclave je izdvojeni podsustav integriran u SoC, izoliran od glavnog procesora i dizajniran da
 čuva osjetljive tajne i izvršava kriptografske operacije čak i kad bi kernel glavnog procesora
 bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.


{{:racfor_wiki:seminari2025:secenc.png?400|}}
====2.1 Pristup uređaju vs. pristup podacima====

U forenzičkom smislu razlikujemo:

  *screen unlock i

  * data access

Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz
manji rizik kontaminacije i uz jasniju proceduru dokumentiranja.

====2.2. Lokalni backup (Finder/iTunes/Apple Devices) kao forenzički kanal====

Lokalni backup može sadržavati značajne podatke relevantne za istragu.
Apple navodi razliku između kriptiranih i nekriptiranih backup-a,
pri čemu kriptirani backup tipično obuhvaća širi skup osjetljivih podataka.

==== 2.3. iCloud / sinkronizacije ====

iCloud i Apple servisi mogu biti izvor relevantnih artefakata. 
  * Forenzička prednost: dio podataka može biti dostupan bez direktne interakcije s zaključanim uređajem. 
  * Forenzički izazovi: pravni okvir, promjenjivost i potreba za preciznim bilježenjem vremena 

====2.4. Klase pristupa (ograničenja i rizici)====

Na razini klasifikacije (bez proceduralnih detalja), pristupi se mogu grupirati na:

  * credential-based (legalno dobivene vjerodajnice / autorizirani pristup)

  * vulnerability-based (ovisno o točnom modelu i iOS verziji; prozori ranjivosti se zatvaraju update-ima)

  * hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike)
iOS i Android koriste slične temeljne sigurnosne koncepte poput enkripcije, sigurnog pokreta
====3.1. Razlike sigurnosti između iPhonea i Androida====
nja sustava i hardverski potpomognute zaštite ključeva. Unatoč tome, pristup sigurnosti i
način implementacije razlikuju se zbog razlika u ekosustavu, 
modelu ažuriranja i hardverskoj arhitekturi, što u praksi utječe i na digitalnu forenziku.

**Ekosustav i fragmentacija
**
iOS je dio vertikalno integriranog ekosustava u kojem jedan proizvođač (Apple) kontrolira hardver, operacijski sustav i veliki dio usluga. Zbog toga su sigurnosne značajke u pravilu konzistentnije među uređajima iste generacije. Android je otvoreniji ekosustav koji koriste različiti proizvođači, pa se sigurnosne značajke i brzina implementacije zakrpa mogu razlikovati ovisno o proizvođaču, modelu uređaja i verziji sustava.

**Hardverski sigurnosni podsustavi
**
Na iOS uređajima važnu ulogu ima Secure Enclave, izolirani sigurnosni podsustav
 koji upravlja osjetljivim kriptografskim operacijama i podacima vezanim uz autentikaciju.
 Android uređaji u pravilu koriste kombinaciju mehanizama poput Trusted Execution Environment (TEE)
 i Android Keystore sustava, a na pojedinim uređajima postoje dodatni hardverski moduli
 (npr. StrongBox ili proizvođački “vault” sustavi). Posljedica je da Android sigurnosna
 implementacija može značajno varirati među različitim uređajima.

**Enkripcija i dostupnost podataka
**
iOS koristi model zaštite podataka u kojem dostupnost datoteka može ovisiti o stanju uređaja (npr. nakon ponovnog pokretanja u odnosu na stanje nakon prvog otključavanja). Android koristi file-based encryption (FBE), pri čemu se ključevi i dostupnost podataka mogu razlikovati po korisničkom profilu i tipu podataka, uz mogućnost da dio podataka bude dostupan prije potpunog korisničkog otključavanja (tzv. “Direct Boot” koncept).

**Ažuriranja i sigurnosne zakrpe
**
Ažuriranja iOS-a distribuira centralno Apple, što često omogućuje bržu i ujednačeniju dostupnost
 sigurnosnih zakrpa za podržane uređaje. Kod Androida distribucija ažuriranja ovisi o Googleu,
 proizvođačima uređaja i ponekad mobilnim operaterima, pa su razlike u “patch levelu” među uređajima
 češće i izraženije.

**Utjecaj na digitalnu forenziku
**
Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim
 sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom.

{{:racfor_wiki:seminari2025:iphand.png?400|}}

====4.1. Alati koji se koriste u praksi====
U stvarnoj forenzičkoj obradi iPhone uređaja koristi se ograničen broj profesionalnih alata
 koji su prihvaćeni od strane policijskih tijela, sudskih vještaka i forenzičkih laboratorija.
 Ti alati moraju omogućiti zakonitu akviziciju podataka, očuvanje integriteta dokaza te izradu
 reproducibilnih izvješća u skladu s međunarodnim standardima (ISO 27037, ACPO smjernice, ENFSI preporuke).

**GrayKey**

GrayKey je specijalizirani sustav namijenjen prvenstveno otključavanju iPhone uređaja. 
Koristi se u situacijama kada nije dostupan iCloud ili iTunes backup te kada je uređaj z
aštićen snažnom lozinkom. Omogućuje fizičku ekstrakciju datotečnog sustava i pristup enkriptiranim
 podacima poput Keychaina. Zbog osjetljivosti tehnologije, upotreba GrayKeya uglavnom je ograničena
 na državne institucije i ovlaštene forenzičke laboratorije.

**Cellebrite UFED i Cellebrite Premium
**
Cellebrite UFED predstavlja jedan od najraširenijih alata za mobilnu forenziku. U kontekstu iPhone
 uređaja koristi se za logičku i fizičku ekstrakciju podataka, analizu aplikacija te, na podržanim
 verzijama sustava iOS, zaobilaženje zaključavanja. Alat omogućuje dohvat podataka iz Keychaina,
 aplikacijskih baza, iMessage i pozivnih zapisa te generira forenzički prihvatljive izvještaje s
 izračunom hash vrijednosti. Zbog visoke razine dokumentiranosti i validacije, UFED se smatra industrijskim
 standardom u kaznenim postupcima.

{{:racfor_wiki:seminari2025:uefd.jpg?400|}}

**iLEAPP (iOS Logs, Events and Plist Parser)
**
iLEAPP je alat otvorenog koda namijenjen analizi artefakata operacijskog sustava iOS nakon što su podaci
 prethodno izvučeni s uređaja. Alat se najčešće primjenjuje na iTunes ili iCloud sigurnosnim kopijama te
 na ekstraktima dobivenima komercijalnim forenzičkim rješenjima.

iLEAPP omogućuje obradu različitih izvora podataka, uključujući iOS logove, sustavne zapise,
 Plist datoteke i SQLite baze koje koriste aplikacije i sam operacijski sustav. 
Putem tih izvora moguće je rekonstruirati metapodatke vezane uz lokaciju, pozive, obavijesti 
i aktivnosti aplikacija. Alat automatski izdvaja poznate artefakte poput baza KnowledgeC.db
 i CallHistory.storedata te konfiguracijskih datoteka kao što su com.apple.mobiletimer.plist 
i com.apple.locationd.plist.

Primarna uloga iLEAPP-a nije otključavanje uređaja, nego analiza i interpretacija već prikupljenih podataka. 
Posebno je koristan u situacijama kada je uređaj zaključan, ali je dostupna sigurnosna kopija ili drugi oblik logičke akvizicije.

{{:racfor_wiki:seminari2025:ileap.png?400|}}

**libimobiledevice**

libimobiledevice je biblioteka otvorenog koda koja omogućuje komunikaciju s iOS uređajima bez
 potrebe za službenim Apple softverom. Često se koristi u forenzičkim okruženjima temeljenim na Linuxu.

Alat omogućuje dohvat tehničkih informacija o uređaju, uključujući model, verziju iOS-a i
 serijski broj, te izradu i analizu sigurnosnih kopija u formatu kompatibilnom s iTunesom.
 Pristup je moguć samo ako je uređaj prethodno autoriziran putem tzv. lockdown pairinga.

Iako libimobiledevice ne omogućuje zaobilaženje zaključavanja, smatra se neinvazivnom metodom za prikupljanje podataka te se često koristi u kombinaciji s alatima za analizu poput iLEAPP-a.

**checkra1n i palera1n
**

checkra1n i palera1n su jailbreak alati temeljeni na hardverskoj ranjivosti poznatoj kao checkm8,
 prisutnoj u Apple čipovima generacija A5–A11. Budući da je riječ o ranjivosti na razini bootrom-a,
 ne može se ukloniti softverskim ažuriranjem.

Jailbreak dobiven ovim alatima omogućuje puni pristup datotečnom sustavu uređaja, uključujući 
direktorij /private/var/, te potencijalnu ekstrakciju Keychain podataka i sustavnih logova. Metoda je primjenjiva samo na starijim modelima i zahtijeva fizički pristup uređaju.

S obzirom na to da jailbreak mijenja izvorno stanje sustava, uporaba ovih alata zahtijeva detaljnu dokumentaciju i često ima ograničenu sudsku prihvatljivost.
 Zbog toga se primjenjuju uglavnom kao istraživačka metoda u slučajevima kada druge tehnike nisu dostupne.

====5.1. Sazetak====

Rad obrađuje problematiku otključavanja iPhone uređaja u forenzičke svrhe s naglaskom na suvremeni
 Apple sigurnosni model i njegove implikacije na digitalnu istragu. iPhone predstavlja jedan od tehnički
 najzaštićenijih mobilnih sustava zahvaljujući konceptu security by design, hardverski vezanoj enkripciji
 i izoliranom podsustavu Secure Enclave. Zbog takve arhitekture, tradicionalni pristupi akviziciji podataka
 često nisu primjenjivi bez odgovarajućih ključeva, stanja autentikacije ili alternativnih izvora poput 
sigurnosnih kopija.

U radu se razlikuju dva ključna pojma: pristup uređaju (screen unlock) i pristup podacima (data access).
 Forenzički cilj nije nužno otključavanje ekrana, već zakonito i pouzdano pribavljanje digitalnih artefakata
 kroz kanale poput lokalnih backup-a, iCloud sinkronizacije ili specijaliziranih alata.




===== Literatura =====
[1] [[https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf]]

[2] [[https://www.realitynet.it/pdf/iOS_Forensics_Prague_DFIR_2017.pdf]]  

[3] [[https://www.magnetforensics.com/blog/loading-graykey-images-into-magnet-axiom/]]  

[4] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]  

[5] [[https://upcommons.upc.edu/bitstreams/b37ca1d9-eca0-4ab0-beb4-1bc4d3168dfb/download]]  

[6] [[https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals]]