iLEAPP je alat za forenzičku analizu dnevničkih zapisa, događaja i *plist* datoteka iOS uređaja. Nudi sučelje komandne linije ili grafičko sučelje, a izvještaje generira u HTML, TSV i SQLite obliku.

Forenzičari pomoću alata mogu otkriti relevantne informacije za istragu u detaljnom, organiziranom obliku sa sučeljem kojeg je lako koristiti.

iLEAPP (punim nazivom iOS Logs, Events, And Plists Parser) je alat za forenzičku analizu iOS uređaja, točnije za analizu dnevničkih zapisa, događaja i datoteke s popisom svojstava (plist datoteke, engl. Property list files).

Radi se o skupu skripti napisanih u programskom jeziku Python koje omogućuju analizu spomenutih datoteka kroz izvlačenje datotečnog sustava iOS uređaja.

iLEAPP dostupan je sa sučeljem komandne linije (engl. command line interface - CLI) (vidljivo na Slici 1), kao i sa grafičkim sučeljem (engl. graphical user interface - GUI) imena ileappGUI (vidljivo na Slici 2).

Slika 1. Izgled sučelja komandne linije

Slika 2. Izgled grafičkog sučelja

Kod ekstracije dostupno je više modula, od kojih je moguće odabrati sve ili dio. Potrebno je kao ulaznu točku unijeti odabrani iOS datotečni sustav, a kao izlaznu direktorij u kojem će alat generirati svoj izvještaj.

Unutar odabranog direktorija nalazit će se dodatni direktoriji i datoteke - najbitnija je index.html datoteka. Ona sadrži grafički prikaz generiranih izvještaja koje omogućavaju laki pregled rezultata rada alata (vidljivo na Slici 3).

Slika 3. Grafički prikaz generiranih izvještaja

Početna kartica početne stranice prikazuje općenite informacije o analizi. Preostale kartice pružaju informacije o uređaju, zapisima izvršavnja i popisu obrađenih datoteka.

Izbornik s lijeve strane nudi odabir prikaza izvještaja pojedinog artefakta. Podstranica analize artefakta nudi prikaz informacija u obliku tablice i mogućnost pretraživanja (vidljivo na Slici 4).

Slika 4. Izgled stranice jednog od artefakata

Izvještaj analize dostupan je i u TSV (engl. tab sparated values) formatu koji je pogodan kao ulaz u druge alate za dodatnu analizu.

Alat također generira izvještaj u obliku SQLite baze podataka koja sadrži analizirane datoteke s vremenskim oznakama. Omogućava jednostavan način pregleda artefakata kroz vrijeme, a koristeći SQL upite moguće je dodatno precizirati svoju analizu.

U ovom poglavlju prikazani su i obrađeni određeni artefakti koje ovaj alat može generirati po završetku svoje analize.

Artefakt korisničkih računa (engl. Accounts) (vidljivo na Slici 5) sadrži detalje konfiguriranih korisničkih računa na uređaju kao što su korisničko ime i tip vjerodajnica (lozinka, OAuth i sl.)

Ovo je iznimno korisno za računalnu forenziku jer pruža uvid u platforme i servise koje je vlasnik uređaja koristio i može otvoriti novi smjer u analizi.

Slika 5. Izgled podstranice artefakta korisnički računi

Artefakt baze podataka stanja aplikacija (engl. Application State DB) prati aplikacije na uređaju kao i putanju do direktorija gdje određena aplikacija pohranjuje svoje podatke.

Sadrži podatke o instaliranim aplikacijama, ali prati i brisanje aplikacija gdje za neke pohranjuje i datum brisanja. Obje informacije mogu biti korisne, a informacija o obrisanim aplikacijama dodatno jer može dati uvid u nešto što je vlasnik uređaja htio sakriti.

Slike tablica koje se analiziraju u sklopu generiranja ovog artefakta prikazane su na Slici 6, Slici 7 i Slici 8.

Slika 6. Prikaz prve od analiziranih tablica

Slika 7. Prikaz druge od analiziranih tablica

Slika 8. Prikaz treće od analiziranih tablica

Artefakt metapodataka paketa i iTunesa (engl. iTunes & Bundle Metadata) (vidljivo na Slici 9) su zapravo .plist datoteke koje sadrže informacije poput datuma i vremena preuzimanja aplikacije, koja inačica aplikacije je preuzeta i koji AppleID ju je zapravo preuzeo.

Slika 9. Izgled podstranice artefakta metapodataka

Artefakt Bluetooth daje uvid u bluetooth uređaje koji su došli blizu ili bili upareni s analiziranim uređajem. Sadrži tri podsekcije:

1. Bluetooth Paired (vidljivo na Slici 10) - dokumentira bluetooth uređaje koji su bili upareni s analiziranim uređajem

Slika 10. Izgled postranice artefakta uparenih bluetooth uređaja

2. Bluetooth Paired LE (vidljivo na Slici 11) - dokumentira bluetooth uređaje niske potrošnje koji su bili upareni s analiziranim uređajem

Slika 11. Izgled podstranice artefakta uparenih bluetooth uređaja niske potrošnje

3. Bluetooth Other LE (vidljivo na Slici 12) - dokumentira bluetooth uređaje niske potrošnje koji su došli u blizinu analiziranog uređaja - također uključuje uređaje koji djeluju u drugom frekvencijskom rasponu od uobičajenog za bluetooth

Slika 12. Izgled postranice artefakta bluetooth uređaja niske potrošnje u blizini

Znati s kojim uređajima je analizirani uređaj komunicirao može biti od velikog značaja u računalnoj forenzici jer može ukazati na poznanstva, infrastrukturu kojom se vlasnik uređaja koristi i sl.

Artefakt identifikatora paketa za AppGroup i identifikatori izvještaja PluginKit (vidljivo na Slici 13) korisni su prvenstveno jer daju uvid u popis aplikacija koje su nekada bile na uređaju neovisno o tome jesu li i dalje na uređaju.

Slika 13. Izgled postranice artefakta identifikatora paketa i izvještaja

Neki od preostalih artefakata su povijest poziva, unosi kalendara i metapodaci slika. Svi spomenuti mogu biti od velike važnosti pri forenzičkoj analizi jer jasno daju uvid u informacije s kime vlasnik uređaja komunicira, gdje se kreće, s kime je sve bio u kontaktu i sl.

Uzmimo na primjer počinitelja Ivana koji je u procesu suđenja za vršenje kibernetičkog nasilja nad Markom, kolegom s posla, putem društvene mreže Facebook. Marko tvrdi kako se Ivan udružio s Josipom, dok Ivan tvrdi kako ne zna niti jednog Josipa.

Računalni forenzičari dobili su pristpu njegovom mobilnom uređaju s operacijskim sustavom iOS.

Ivan je prije suđenja blokirao Marka na društvenoj mreži i obrisao aplikaciju s uređaja.

Korištenjem alata, forenzičari korištenjem baze podataka stanja aplikacija i identifikatora paketa pronalaze da je aplikacija Facebook bila instalirana na Ivanovom mobilnom uređaju. Pronalaze čak i email koji je koristio za prijavu pomoću artefakta korisnički računi.

Pomoću artefakta Bluetooth pronalaze da se Ivanov mobitel našao u blizini bluetooth uređaja imena “Josip's iPhone”, dok pomoću artefakta unosa kalendara pronalaze zapis samo imena “Josip”. Povijest poziva otkriva pozive prema kontaktu Josip za vrijeme kada Marko tvrdi da se nad njim vršilo kibernetičko nasilje.

Pomoću pronađenih informacija koje je utvrdila forenzička analiza uređaja korištenjem alata iLEAPP, sud bi mogao utvrditi da su Markove tvrdnje istinite i osuditi Ivana krivim.

Alat iLEAPP pruža detaljnu i korisnu analizu datotečnog sustava iOS uređaja i svoje rezultate prikazuje uredno i lijepo formatirano kroz jednostavno sučelje.

Može sam generirati dovoljno informacija za dokaz, a može i jasno uputiti gdje bi se daljna analiza i istraga trebala provesti.

Svakako je alat koji je korisno imati u svom arsenalu alata za forenzičku analizu.

[1] iLEAPP: https://github.com/abrignoni/iLEAPP

[2] What is .plist file in iOS — Exploring Plist Files: Configuration and Data Storage in Swift: https://vikramios.medium.com/what-is-plist-file-in-ios-73384c01dd1d

[3] Identifying installed and uninstalled apps in iOS: https://abrignoni.blogspot.com/2018/12/identifying-installed-and-uninstalled.html

[4] How to Use iOS Bluetooth Connections to Solve Crimes Faster: https://cellebrite.com/en/how-to-use-ios-bluetooth-connections-to-solve-crimes-faster/