Daten aus der iCloud extrahieren – 12 Jahre IT Forensik vs. IT Security

 

Prag, 29. Juli 2024

Zwölf Jahre ist es her, seit ElcomSoft erstmals iCloud-Backups direkt von Apple herunterladen und die Daten auslesen konnte. Während die einen sagten, dass es keine große Leistung sei, mit dem richtigen Passwort Daten aus einem Online-Backup zu laden, fühlten sich andere in ihrer Auffassung bestätigt, dass Cloud-Speicher ein unkalkulierbares Sicherheitsrisiko seien. Aber beide Sichtweisen waren damals schon stark vereinfacht und sind heute schlicht falsch.

Extraktion von Daten aus einem iCloud-Backup ist nicht trivial

Nach der Logik von Apple ist ein iPhone-Backup in der iCloud dazu gedacht, dieses iPhone mit allen Daten auf einer neuen Hardware wiederherzustellen. Selbst mit den richtigen Zugangsdaten bietet Apple keine Möglichkeit auf Bilder, Passwörter, Dokumente, Browser-History oder andere Dateien im iCloud-Backup zuzugreifen. Will man auf die im iCloud-Archiv gespeicherten Daten zugreifen, müsste man das ganze Backup auf ein neues iPhone einspielen und könnte im Anschluss regulär über iOS auf die Daten zugreifen. Und Apple ist nicht gerade dafür bekannt, es Nutzern leicht zu machen, ungehindert und ungefiltert auf Dateien zugreifen zu können, die nicht explizit vom Nutzer erstellt wurden.

Es war daher damals schon eine kleine Sensation und ein echter Mehrgewinn, dass ElcomSoft alle Daten des iCloud-Backups direkt aus dem Backup entschlüsseln konnte. Konnte man sich gegenüber der iCloud legitimieren, kam man über ElcomSoft-Lösungen direkt an alle Daten heran. Aber das war 2012. Seitdem ist Apple nicht untätig geblieben.

In vier Schritten - Apple bessert nach

Schritt 1, die Zwei-Faktor-Authentifizierung: Ziemlich überhastet und für Apple-Verhältnisse recht unausgegoren wurde 2013 eine Art zweistufige Verifizierung implementiert. Eine richtige Zwei-Faktor-Authentifizierung wurde erst 2015 vorgestellt. Maßgeblicher Treiber dürfte auch das als Celebgate bekannt gewordene Leak von 2014 gewesen sein, wo große Mengen privater Daten von Prominenten veröffentlicht wurden, die sich in Backups von Mobiltelefonen befanden. Inzwischen sind ca. 95 % der Apple-Accounts mit 2FA geschützt. Kein großes Hindernis, wenn man bedenkt, dass Firmen und Behörden in der Regel auch Zugriff auf die entsprechenden SIM-Karten haben.
Schritt 2, die Ende-zu-Ende-Verschlüsselung: Zwar sind die Daten in der iCloud verschlüsselt, aber erst eine echte E2E-Verschlüsselung schafft die Gewissheit, dass auch Apple selbst die Daten nicht einsehen kann. Anfangs diente der Passcode des iPhones gleichzeitig auch als Key um die Daten auf den Apple-Servern zu verschlüsseln. Nun bietet der Passcode nicht gerade das Maximum an Sicherheit gegen Brute-Force-Attacken und noch dazu wurde nur ein Teil der Daten mit dem Passcode E2E-verschlüsselt. Stand 2020 wurden beispielsweise SMS, Sprachnachrichten und Daten von Apple Maps verschlüsselt, Mails, WLAN-Kennwörter und Daten von Apple Wallet aber nicht.
Schritt 3, Advanced Data Protection: Der echte Durchbruch erfolgte erst Ende 2022 mit dem neuen Feature Advanced Data Protection for iCloud. Hier hat Apple eine echte, starke und sichere E2E-Encryption nachgerüstet. Auch zwei Jahre später ist noch kein Exploit bekannt. Insofern ist es zum jetzigen Zeitpunkt auch schwierig zu beurteilen, was genau Advanced Data Protection anders macht als eine klassische E2E-Encryption.
Schritt 4, Third-Party-Apps und iOS 17: Der letzte Schritt erfolgte mit Einführung von iOS 17. Hier hat Apple zusätzliche Hürden implementiert, um den Zugriff von Fremdsoftware auf die iCloud zu erschweren. In der Praxis gibt es in der Tat einige Fälle, bei denen die Extraktion von iOS 17-Backups fehlschlägt, aber zumindest der Zugriff auf synchronisierte Daten funktioniert selbst bei iOS 17 weiterhin problemlos.

Apple speichert mehr als angenommen

Ein Problem für sicherheitsbewusste Nutzer ist zudem, dass sich regelmäßig mehr Daten in einem iCloud-Backup befinden, als dem Nutzer bekannt sein dürfte und sogar mehr, als offiziell von Apple zugegeben wurde. 2016 wurde bekannt, dass Apple unbemerkt die Anrufhistorie sichert, 2017 dann, dass Apple die Browser-History auch dann sichert, wenn sie lokal gelöscht wurde. Überhaupt ist es ein Trend von Apple, mehr und mehr Daten in der Cloud zu sichern. Kritisch zu sehen ist natürlich, dass der Trend schon lange vor einer starken E2E-Verschlüsselung begann. Und selbst als E2E-Verschlüsselung eingeführt wurde, wurde nur ein Teil der Daten überhaupt verschlüsselt. In der Konsequenz waren sehr lange sehr viele Daten teils auch gegen den Willen des Nutzers online gespeichert mit nur mäßigem Schutz.

Forensischer Zugriff ist ergiebiger als der legale Zugriff

Natürlich bietet Apple Behörden auch legale Möglichkeiten Zugriff auf die Daten zu erhalten. Der Antrag dazu ist bis heute ein Word-Dokument zum Download auf der Website von Apple: gle-inforequest.docx. Der Nachteil ist nur, dass Apple ausschließlich Zugriff auf die Daten gewährt, die nicht E2E-verschlüsselt sind. Also selbst wenn Strafverfolgungsbehörden einen richterlichen Beschluss vorweisen können, erhalten sie von Apple keine verschlüsselten Daten, auch dann nicht, wenn diese Verschlüsselung wie im Falle des Passcode kein unüberwindbares Hindernis darstellt. Im Ergebnis muss man konstatieren, dass IT-forensische Lösungen sich auch für offizielle Stellen als effektiver erweisen als auf die Kooperation mit Apple zu setzen.

Direkter Zugriff auf das Dateisystem mit Elcomsoft iOS Forensic Toolkit

Auch wenn ElcomSoft immer noch mit der Advanced Data Protection kämpft, gibt es trotzdem Möglichkeiten an die Daten zu gelangen. Der klassische Ansatz ist das iOS Forensic Toolkit. Hiermit bietet ElcomSoft verschiedene Möglichkeiten sich per Sideloading direkten Zugriff auf ein physisches iOS-Geräts zu verschaffen. Dies schließt einen Low-Level-Zugriff auf das Dateisystem mit ein und liefert selbst entschlüsselte Keychains zurück.

 phoca thumb l brokenicloud

Grafiken, Boxshots und Portraitfotos finden Sie in Original-Auflösung unter den Links im Menü rechts