Die Diskussionen kochen immer hoch: Strafverfolgungsbehörden verlangen nach Backdoors auf mobilen Endgeräten, damit die eigene Arbeit effizienter wird. Doch Smartphonehersteller sowie die Verantwortlichen für die Betriebssysteme wollen keine Backdoors, da der Zugang zu diesen schwer zu kontrollieren ist. Doch Hersteller wie Cellebrite und Grayshift brauchen keine Backdoors, sie haben eigene Lösungen gefunden.
Noch vor gar nicht so langer Zeit, galt iOS in Sachen Datensicherheit Android überlegen. Doch dies ändert sich.
Detektiv Rex Kiser, der mit dem Fort Worth Police Department zusammenarbeitet, im Interview mit Vice:
Vor einem Jahr konnten wir noch nicht auf iPhones zugreifen, aber wir konnten auf alle Androids zugreifen. Jetzt kommen wir nicht mehr an viele Androids heran.
Während eines von NIST durchgeführten Tests (welchen ich unter diesen Artikel als PDF einbinde) konnte das UFED InFeild Kiosk-Tool von Cellebrite bestimmte Daten nicht auswerten. Den Pixel 2 und Samsung Galaxy S9 konnten dabei kaum und dem Huawei P20 Pro keine Daten abgeluchst werden.
Android:
Die internen Speicherinhalte für Android-Geräte wurden mit folgenden Methoden erfasst und analysiert:
UFED InField Kiosk v7.5.Alle Testfälle im Zusammenhang mit der Anschaffung von unterstützten Android-Geräten waren erfolgreich mit Ausnahme der folgenden Punkte:
▪ Grafikdateien, die mit Kontakten verbunden sind, werden unter Multimedia separat ausgewiesen.
Kategorie für alle Android-Geräte.
▪ Für die Geräte Galaxy S5, LG G4, Galaxy S6 Edge Plus und Galaxy S6 Edge Plus werden keine Notizen gemeldet.
▪ Lange Notizen werden für das LG G5 abgeschnitten.
▪ Der Status der Anrufprotokolle für eingehende und verpasste Anrufe wird fälschlicherweise als abgehende Anrufe gemeldet.
▪ Für Galaxy S5, LG G4, LG G5, GS7 Edge, HTC 10 und Galaxy Note 3 werden keine Dokumente (txt, pdf) gemeldet.
▪ SMS- und MMS-Nachrichten werden teilweise für die Ellipsis 8 gemeldet.
▪ Audioanhänge für ausgehende MMS-Dateien werden teilweise mit dem zugehöriger Text für LG G4.
▪ Für das Samsung J3 wurden keine Instagramm-Daten gemeldet.
▪ GPS-bezogene Daten (d.h. Längen- und Breitengrad-Koordinaten) wurden für das Samsung J3 nicht gemeldet.▪ Die Extraktion von Anwendungsdaten wird nicht unterstützt für Geräte mit Android 7.0 oder
oben. Daher ist der Status für Social Media Apps entsprechend gekennzeichnet als NA für Geräte, auf denen diese Version läuft.
▪ Eigenständige Dateien (.txt, .pdf-Dokumente) werden vom Viewer des Tools nicht unterstützt.
Die .TXT- und .PDF-Dokumente wurden jedoch für die folgenden Geräte gemeldet:
Samsung Galaxy S3, Motorola Droid Turbo 2, Samsung Galaxy S6 Edge Plus,
Samsung J3, Google Pixel XL, Moto Z Force, Ellipsis 8 und das Galaxy Tab S2.
▪ Internetbezogene Daten (Browserverlauf, Lesezeichen, E-Mails) werden nicht unterstützt. Diese Daten wurden jedoch für die folgenden Bereiche gemeldet Geräte: Samsung Galaxy S3, LG G4, Galaxy S7 Edge, Galaxy Note 3 (E-Mail = NA) und die Ellipsis 8 (E-Mail = NA).
▪ Um einen erfolgreichen Erwerb des LG G4 zu erhalten, müssen Sie möglicherweise versuchen das Gerät einige Male erwerben. Dies kann auch für andere Geräte gelten.
iOS:
testresultsnistmobiledeviceacquisitiontool-ufedinfieldkiosk_v7.5.0.875▪ Grafikdateien, die mit Kontakt-/Adressbucheinträgen verbunden sind, werden teilweise gemeldet
(d.h. sie werden unter der Kategorie Multimedia gemeldet und nicht im Kontakt) für das iPhone 4, iPhone 5S, iPhone 6S Plus, iPhone 7 Plus, iPadMini v9.1 und iPad Mini v11.3.
▪ Lange Kalendereinträge werden für das iPhone 4, iPhone 5S und iPhone 6S Plus, iPhone 7 Plus, iPad Mini v9.1 und iPad Mini v11.3 abgeschnitten. Allerdings war es vollständig unter der Kategorie Zeitleiste berichtet.
▪ Kalendereintrag teilweise erfasst (d.h. das Tool meldet falsches Veranstaltungsdatum, das Datum ist
von einer Notiz, die mit dem Eintrag mit Datum verbunden ist) für das iPhone 4.
▪ Metadaten, die mit Kalendereinträgen (d.h. Notizen) verbunden sind, werden nicht für das iPhone 4 und iPhone 6S Plus gemeldet.
▪ Empfänger von Gruppen-SMS-Nachrichten werden nicht gemeldet, aber die Nachricht selbst wurde
für das iPhone 6S Plus und iPhone 7 Plus berichtet.
▪ GPS-Daten (d.h. Längen-/Breitengrad-Koordinaten, Adresse) werden für das iPhone 4, iPhone 5S iPhone 6S Plus und iPhone 7 Plus nicht gemeldet.
Anmerkungen:
▪ Das Tool bietet die Möglichkeit, E-Mails von iOS-Geräten zu erfassen, aber es
unterstützt diese Funktion für diese Geräte nicht.
▪ Gelöschte Daten (d.h. SMS, Anrufe, Notizen) wurden für das iPhone 4 erfasst.
▪ MMS-Nachrichten werden unter der Kategorie “Chats/Messages” gemeldet, es gibt keine
separate MMS-Kategorie, wie es sie für die SMS gibt.
▪ Eingehende und ausgehende SMS und MMS (mit Audio-, Grafik-, Video Anhänge) werden zusammen unter der Kategorie “Chats/Botschaften” für iPad mini v9.1 und iPad Miniv11.3 gemeldet. Die MMS-Kategorie meldet 1 leere Nachrichten mit eine Audiodatei, die für das iPad Mini v 9.1 nicht abspielbar ist. Physikalische Extraktion
Option wird für die iOS-Geräte angeboten, aber die physische Erfassung kann nur durch den Physical Analyzer angewendet werden.
➢ Eigenständige Dateien (.txt, .pdf-Dokumente) werden im Viewer des Tools nicht unterstützt.
Die .TXT- und .PDF-Dokumente wurden jedoch für die folgenden Geräte gemeldet:
iPhone 4 und das iPhone 5S.
➢ Internetbezogene Daten (E-Mails) werden vom Viewer des Tools nicht unterstützt.