Danas su mobilni uređaji postali glavni čuvari naših privatnih i poslovnih informacija. Na njima se nalaze poruke, lokacije, fotografije, ali i podaci iz aplikacija poput mobilnog bankarstva ili društvenih mreža. Često se sve to još dodatno sinkronizira s cloudom. Kada je riječ o forenzici, iPhone predstavlja poseban izazov. Kompanija Apple koja proizvodi iPhone uredaje dizajnirala je sigurnosni model tako da su ključevi enkripcije vezani uz hardver i korisničku autentikaciju a uz to se koristi dodatni sloj zaštite kroz Security Enclave. Nekad je potrebno samo otključati uređaj i dobiti pristup aplikacijama, a ponekad je dovoljno izvući određene podatke bez otključavanja, primjerice putem backupa ili iz clouda.

Apple sigurnosni model opisuje kroz službenu dokumentaciju Apple Platform Security, koja naglašava hardversku enkripciju, integritet sustava i izolaciju osjetljivih komponenti. Bitna posljedica za forenziku: mnoge klasične tehnike više ne daju automatski čitljive podatke bez odgovarajućih ključeva i stanja autentikacije.

iPhone koristi sigurni lanac pokretanja kako bi se spriječilo pokretanje neautoriziranog koda. Forenzički, to znači da se platforma sustavno brani od modifikacija OS-a kao prečaca do podataka

iOS Data Protection model koristi per-file enkripciju i klase zaštite. Kada se datoteka otvara, sustav koristi ključeve koji su omotani i čije se rukovanje odvija tako da ključ nije izravno izložen aplikacijskom procesoru. Dekripciju obavlja hardverski AES mehanizam uz posredovanje sigurnosnih komponenti. U praksi to znači čak i ako se dobije sirovi sadržaj pohrane, bez ispravnih ključeva sadržaj ostaje nečitljiv.

Secure Enclave je izdvojeni podsustav integriran u SoC, izoliran od glavnog procesora i dizajniran da čuva osjetljive tajne i izvršava kriptografske operacije čak i kad bi kernel glavnog procesora bio kompromitiran. To je jedan od ključnih razloga zašto je “otključavanje” u forenzici često pitanje strategije i izvora podataka, a ne samo “probiti ekran”.

U forenzičkom smislu razlikujemo:

• screen unlock i

• data access

Često je racionalniji cilj data access, jer se može postići kroz legitimne artefakte ekosustava uz manji rizik kontaminacije i uz jasniju proceduru dokumentiranja.

Lokalni backup može sadržavati značajne podatke relevantne za istragu. Apple navodi razliku između kriptiranih i nekriptiranih backup-a, pri čemu kriptirani backup tipično obuhvaća širi skup osjetljivih podataka.

iCloud i Apple servisi mogu biti izvor relevantnih artefakata.

• Forenzička prednost: dio podataka može biti dostupan bez direktne interakcije s zaključanim uređajem.
• Forenzički izazovi: pravni okvir, promjenjivost i potreba za preciznim bilježenjem vremena

Na razini klasifikacije (bez proceduralnih detalja), pristupi se mogu grupirati na:

• credential-based (legalno dobivene vjerodajnice / autorizirani pristup)

• vulnerability-based (ovisno o točnom modelu i iOS verziji; prozori ranjivosti se zatvaraju update-ima)

• hardware/board-level (često ograničeno jer su podaci enkriptirani i ključevi vezani uz hardver i politike)

iOS i Android koriste slične temeljne sigurnosne koncepte poput enkripcije, sigurnog pokreta

nja sustava i hardverski potpomognute zaštite ključeva. Unatoč tome, pristup sigurnosti i način implementacije razlikuju se zbog razlika u ekosustavu, modelu ažuriranja i hardverskoj arhitekturi, što u praksi utječe i na digitalnu forenziku.

Ekosustav i fragmentacija iOS je dio vertikalno integriranog ekosustava u kojem jedan proizvođač (Apple) kontrolira hardver, operacijski sustav i veliki dio usluga. Zbog toga su sigurnosne značajke u pravilu konzistentnije među uređajima iste generacije. Android je otvoreniji ekosustav koji koriste različiti proizvođači, pa se sigurnosne značajke i brzina implementacije zakrpa mogu razlikovati ovisno o proizvođaču, modelu uređaja i verziji sustava.

Hardverski sigurnosni podsustavi Na iOS uređajima važnu ulogu ima Secure Enclave, izolirani sigurnosni podsustav koji upravlja osjetljivim kriptografskim operacijama i podacima vezanim uz autentikaciju. Android uređaji u pravilu koriste kombinaciju mehanizama poput Trusted Execution Environment (TEE) i Android Keystore sustava, a na pojedinim uređajima postoje dodatni hardverski moduli (npr. StrongBox ili proizvođački “vault” sustavi). Posljedica je da Android sigurnosna implementacija može značajno varirati među različitim uređajima.

Enkripcija i dostupnost podataka iOS koristi model zaštite podataka u kojem dostupnost datoteka može ovisiti o stanju uređaja (npr. nakon ponovnog pokretanja u odnosu na stanje nakon prvog otključavanja). Android koristi file-based encryption (FBE), pri čemu se ključevi i dostupnost podataka mogu razlikovati po korisničkom profilu i tipu podataka, uz mogućnost da dio podataka bude dostupan prije potpunog korisničkog otključavanja (tzv. “Direct Boot” koncept).

Ažuriranja i sigurnosne zakrpe Ažuriranja iOS-a distribuira centralno Apple, što često omogućuje bržu i ujednačeniju dostupnost sigurnosnih zakrpa za podržane uređaje. Kod Androida distribucija ažuriranja ovisi o Googleu, proizvođačima uređaja i ponekad mobilnim operaterima, pa su razlike u “patch levelu” među uređajima češće i izraženije.

Utjecaj na digitalnu forenziku Zbog konzistentnijeg ekosustava, iOS se često opisuje kao platforma s predvidljivijim sigurnosnim ponašanjem među modelima iste generacije, ali s izrazito snažnom zaštitom ključeva i enkripcijom. Android se, s druge strane, često analizira kao platforma gdje su forenzičke mogućnosti više “uređaj-specifične” zbog varijabilnosti proizvođača, verzija i sigurnosnih dodataka. U oba slučaja, stvarna dostupnost podataka uvelike ovisi o verziji sustava, stanju uređaja i dostupnim izvorima podataka (npr. backup i cloud sinkronizacije).

[1] https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf?utm_source=chatgpt.com