Danas su mobilni uređaji postali glavni čuvari naših privatnih i poslovnih informacija. Na njima se nalaze poruke, lokacije, fotografije, ali i podaci iz aplikacija poput mobilnog bankarstva ili društvenih mreža. Često se sve to još dodatno sinkronizira s cloudom. Kada je riječ o forenzici, iPhone predstavlja poseban izazov. Kompanija Apple koja proizvodi iPhone uredaje dizajnirala je sigurnosni model tako da su ključevi enkripcije vezani uz hardver i korisničku autentikaciju a uz to se koristi dodatni sloj zaštite kroz Security Enclave. Nekad je potrebno samo otključati uređaj i dobiti pristup aplikacijama, a ponekad je dovoljno izvući određene podatke bez otključavanja, primjerice putem backupa ili iz clouda.

Apple sigurnosni model opisuje kroz službenu dokumentaciju Apple Platform Security, koja naglašava hardversku enkripciju, integritet sustava i izolaciju osjetljivih komponenti. Bitna posljedica za forenziku: mnoge klasične tehnike više ne daju automatski čitljive podatke bez odgovarajućih ključeva i stanja autentikacije.

iPhone koristi sigurni lanac pokretanja kako bi se spriječilo pokretanje neautoriziranog koda. Forenzički, to znači da se platforma sustavno brani od modifikacija OS-a kao prečaca do podataka

iOS Data Protection model koristi per-file enkripciju i klase zaštite. Kada se datoteka otvara, sustav koristi ključeve koji su omotani i čije se rukovanje odvija tako da ključ nije izravno izložen aplikacijskom procesoru. Dekripciju obavlja hardverski AES mehanizam uz posredovanje sigurnosnih komponenti. U praksi to znači čak i ako se dobije sirovi sadržaj pohrane, bez ispravnih ključeva sadržaj ostaje nečitljiv.

Secure Enclave je izdvojeni podsustav integriran u SoC, izoliran od glavnog procesora i dizajniran da čuva osjetljive tajne i izvršava kriptografske operacije čak i kad bi kernel glavnog procesora bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.

U forenzičkom smislu razlikujemo:

• screen unlock i

• data access

Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz manji rizik kontaminacije i uz jasniju proceduru dokumentiranja.

Lokalni backup može sadržavati značajne podatke relevantne za istragu. Apple navodi razliku između kriptiranih i nekriptiranih backup-a, pri čemu kriptirani backup tipično obuhvaća širi skup osjetljivih podataka.

iCloud i Apple servisi mogu biti izvor relevantnih artefakata.

• Forenzička prednost: dio podataka može biti dostupan bez direktne interakcije s zaključanim uređajem.
• Forenzički izazovi: pravni okvir, promjenjivost i potreba za preciznim bilježenjem vremena

Na razini klasifikacije (bez proceduralnih detalja), pristupi se mogu grupirati na:

• credential-based (legalno dobivene vjerodajnice / autorizirani pristup)

• vulnerability-based (ovisno o točnom modelu i iOS verziji; prozori ranjivosti se zatvaraju update-ima)

• hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike)

iOS i Android koriste slične temeljne sigurnosne koncepte poput enkripcije, sigurnog pokreta

nja sustava i hardverski potpomognute zaštite ključeva. Unatoč tome, pristup sigurnosti i način implementacije razlikuju se zbog razlika u ekosustavu, modelu ažuriranja i hardverskoj arhitekturi, što u praksi utječe i na digitalnu forenziku.

Ekosustav i fragmentacija iOS je dio vertikalno integriranog ekosustava u kojem jedan proizvođač (Apple) kontrolira hardver, operacijski sustav i veliki dio usluga. Zbog toga su sigurnosne značajke u pravilu konzistentnije među uređajima iste generacije. Android je otvoreniji ekosustav koji koriste različiti proizvođači, pa se sigurnosne značajke i brzina implementacije zakrpa mogu razlikovati ovisno o proizvođaču, modelu uređaja i verziji sustava.

Hardverski sigurnosni podsustavi Na iOS uređajima važnu ulogu ima Secure Enclave, izolirani sigurnosni podsustav koji upravlja osjetljivim kriptografskim operacijama i podacima vezanim uz autentikaciju. Android uređaji u pravilu koriste kombinaciju mehanizama poput Trusted Execution Environment (TEE) i Android Keystore sustava, a na pojedinim uređajima postoje dodatni hardverski moduli (npr. StrongBox ili proizvođački “vault” sustavi). Posljedica je da Android sigurnosna implementacija može značajno varirati među različitim uređajima.

Enkripcija i dostupnost podataka iOS koristi model zaštite podataka u kojem dostupnost datoteka može ovisiti o stanju uređaja (npr. nakon ponovnog pokretanja u odnosu na stanje nakon prvog otključavanja). Android koristi file-based encryption (FBE), pri čemu se ključevi i dostupnost podataka mogu razlikovati po korisničkom profilu i tipu podataka, uz mogućnost da dio podataka bude dostupan prije potpunog korisničkog otključavanja (tzv. “Direct Boot” koncept).

Ažuriranja i sigurnosne zakrpe Ažuriranja iOS-a distribuira centralno Apple, što često omogućuje bržu i ujednačeniju dostupnost sigurnosnih zakrpa za podržane uređaje. Kod Androida distribucija ažuriranja ovisi o Googleu, proizvođačima uređaja i ponekad mobilnim operaterima, pa su razlike u “patch levelu” među uređajima češće i izraženije.

Utjecaj na digitalnu forenziku Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom.

U stvarnoj forenzičkoj obradi iPhone uređaja koristi se ograničen broj profesionalnih alata koji su prihvaćeni od strane policijskih tijela, sudskih vještaka i forenzičkih laboratorija. Ti alati moraju omogućiti zakonitu akviziciju podataka, očuvanje integriteta dokaza te izradu reproducibilnih izvješća u skladu s međunarodnim standardima (ISO 27037, ACPO smjernice, ENFSI preporuke).

GrayKey

GrayKey je specijalizirani sustav namijenjen prvenstveno otključavanju iPhone uređaja. Koristi se u situacijama kada nije dostupan iCloud ili iTunes backup te kada je uređaj z aštićen snažnom lozinkom. Omogućuje fizičku ekstrakciju datotečnog sustava i pristup enkriptiranim podacima poput Keychaina. Zbog osjetljivosti tehnologije, upotreba GrayKeya uglavnom je ograničena na državne institucije i ovlaštene forenzičke laboratorije.

Cellebrite UFED i Cellebrite Premium Cellebrite UFED predstavlja jedan od najraširenijih alata za mobilnu forenziku. U kontekstu iPhone uređaja koristi se za logičku i fizičku ekstrakciju podataka, analizu aplikacija te, na podržanim verzijama sustava iOS, zaobilaženje zaključavanja. Alat omogućuje dohvat podataka iz Keychaina, aplikacijskih baza, iMessage i pozivnih zapisa te generira forenzički prihvatljive izvještaje s izračunom hash vrijednosti. Zbog visoke razine dokumentiranosti i validacije, UFED se smatra industrijskim standardom u kaznenim postupcima.

iLEAPP (iOS Logs, Events and Plist Parser) iLEAPP je alat otvorenog koda namijenjen analizi artefakata operacijskog sustava iOS nakon što su podaci prethodno izvučeni s uređaja. Alat se najčešće primjenjuje na iTunes ili iCloud sigurnosnim kopijama te na ekstraktima dobivenima komercijalnim forenzičkim rješenjima.

iLEAPP omogućuje obradu različitih izvora podataka, uključujući iOS logove, sustavne zapise, Plist datoteke i SQLite baze koje koriste aplikacije i sam operacijski sustav. Putem tih izvora moguće je rekonstruirati metapodatke vezane uz lokaciju, pozive, obavijesti i aktivnosti aplikacija. Alat automatski izdvaja poznate artefakte poput baza KnowledgeC.db i CallHistory.storedata te konfiguracijskih datoteka kao što su com.apple.mobiletimer.plist i com.apple.locationd.plist.

Primarna uloga iLEAPP-a nije otključavanje uređaja, nego analiza i interpretacija već prikupljenih podataka. Posebno je koristan u situacijama kada je uređaj zaključan, ali je dostupna sigurnosna kopija ili drugi oblik logičke akvizicije.

libimobiledevice

libimobiledevice je biblioteka otvorenog koda koja omogućuje komunikaciju s iOS uređajima bez potrebe za službenim Apple softverom. Često se koristi u forenzičkim okruženjima temeljenim na Linuxu.

Alat omogućuje dohvat tehničkih informacija o uređaju, uključujući model, verziju iOS-a i serijski broj, te izradu i analizu sigurnosnih kopija u formatu kompatibilnom s iTunesom. Pristup je moguć samo ako je uređaj prethodno autoriziran putem tzv. lockdown pairinga.

Iako libimobiledevice ne omogućuje zaobilaženje zaključavanja, smatra se neinvazivnom metodom za prikupljanje podataka te se često koristi u kombinaciji s alatima za analizu poput iLEAPP-a.

checkra1n i palera1n

checkra1n i palera1n su jailbreak alati temeljeni na hardverskoj ranjivosti poznatoj kao checkm8, prisutnoj u Apple čipovima generacija A5–A11. Budući da je riječ o ranjivosti na razini bootrom-a, ne može se ukloniti softverskim ažuriranjem.

Jailbreak dobiven ovim alatima omogućuje puni pristup datotečnom sustavu uređaja, uključujući direktorij /private/var/, te potencijalnu ekstrakciju Keychain podataka i sustavnih logova. Metoda je primjenjiva samo na starijim modelima i zahtijeva fizički pristup uređaju.

S obzirom na to da jailbreak mijenja izvorno stanje sustava, uporaba ovih alata zahtijeva detaljnu dokumentaciju i često ima ograničenu sudsku prihvatljivost. Zbog toga se primjenjuju uglavnom kao istraživačka metoda u slučajevima kada druge tehnike nisu dostupne.

Rad obrađuje problematiku otključavanja iPhone uređaja u forenzičke svrhe s naglaskom na suvremeni Apple sigurnosni model i njegove implikacije na digitalnu istragu. iPhone predstavlja jedan od tehnički najzaštićenijih mobilnih sustava zahvaljujući konceptu security by design, hardverski vezanoj enkripciji i izoliranom podsustavu Secure Enclave. Zbog takve arhitekture, tradicionalni pristupi akviziciji podataka često nisu primjenjivi bez odgovarajućih ključeva, stanja autentikacije ili alternativnih izvora poput sigurnosnih kopija.

U radu se razlikuju dva ključna pojma: pristup uređaju (screen unlock) i pristup podacima (data access). Forenzički cilj nije nužno otključavanje ekrana, već zakonito i pouzdano pribavljanje digitalnih artefakata kroz kanale poput lokalnih backup-a, iCloud sinkronizacije ili specijaliziranih alata.

[1] https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf

[2] https://www.realitynet.it/pdf/iOS_Forensics_Prague_DFIR_2017.pdf

[3] https://www.magnetforensics.com/blog/loading-graykey-images-into-magnet-axiom/

[4] https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals

[5] https://upcommons.upc.edu/bitstreams/b37ca1d9-eca0-4ab0-beb4-1bc4d3168dfb/download

[6] https://www.researchgate.net/publication/399346895_iOS_Forensics_Fundamentals