Danas su mobilni uređaji postali glavni čuvari naših privatnih i poslovnih informacija. Na njima se nalaze poruke, lokacije, fotografije, ali i podaci iz aplikacija poput mobilnog bankarstva ili društvenih mreža. Često se sve to još dodatno sinkronizira s cloudom. Kada je riječ o forenzici, iPhone predstavlja poseban izazov. Kompanija Apple koja proizvodi iPhone uredaje dizajnirala je sigurnosni model tako da su ključevi enkripcije vezani uz hardver i korisničku autentikaciju a uz to se koristi dodatni sloj zaštite kroz Security Enclave. Nekad je potrebno samo otključati uređaj i dobiti pristup aplikacijama, a ponekad je dovoljno izvući određene podatke bez otključavanja, primjerice putem backupa ili iz clouda.

Apple sigurnosni model opisuje kroz službenu dokumentaciju Apple Platform Security, koja naglašava hardversku enkripciju, integritet sustava i izolaciju osjetljivih komponenti. Bitna posljedica za forenziku: mnoge klasične tehnike više ne daju automatski čitljive podatke bez odgovarajućih ključeva i stanja autentikacije.

iPhone koristi sigurni lanac pokretanja kako bi se spriječilo pokretanje neautoriziranog koda. Forenzički, to znači da se platforma sustavno brani od modifikacija OS-a kao prečaca do podataka

iOS Data Protection model koristi per-file enkripciju i klase zaštite. Kada se datoteka otvara, sustav koristi ključeve koji su omotani i čije se rukovanje odvija tako da ključ nije izravno izložen aplikacijskom procesoru. Dekripciju obavlja hardverski AES mehanizam uz posredovanje sigurnosnih komponenti. U praksi to znači čak i ako se dobije sirovi sadržaj pohrane, bez ispravnih ključeva sadržaj ostaje nečitljiv.

Secure Enclave je izdvojeni podsustav integriran u SoC, izoliran od glavnog procesora i dizajniran da čuva osjetljive tajne i izvršava kriptografske operacije čak i kad bi kernel glavnog procesora bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.

U forenzičkom smislu razlikujemo:

• screen unlock i

• data access

Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz manji rizik kontaminacije i uz jasniju proceduru dokumentiranja.

Lokalni backup može sadržavati značajne podatke relevantne za istragu. Apple navodi razliku između kriptiranih i nekriptiranih backup-a, pri čemu kriptirani backup tipično obuhvaća širi skup osjetljivih podataka.

iCloud i Apple servisi mogu biti izvor relevantnih artefakata.

• Forenzička prednost: dio podataka može biti dostupan bez direktne interakcije s zaključanim uređajem.
• Forenzički izazovi: pravni okvir, promjenjivost i potreba za preciznim bilježenjem vremena

Na razini klasifikacije (bez proceduralnih detalja), pristupi se mogu grupirati na:

• credential-based (legalno dobivene vjerodajnice / autorizirani pristup)

• vulnerability-based (ovisno o točnom modelu i iOS verziji; prozori ranjivosti se zatvaraju update-ima)

• hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike)

[1] https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf?utm_source=chatgpt.com