Per la digital forensics i dispositivi iOS rappresentano una delle sfide più complesse per gli investigatori, a causa di una solida e robusta architettura di sicurezza, molto vantaggiosa per l’utente finale ma con maggiori complessità per i professionisti forensi che vogliano estrarre dati in modo legale da un iPhone o un iPad.
Questo nuovo approfondimento DFIR esamina le tecniche avanzate di estrazione dei dati su iOS, soffermandosi sul ruolo delle classi di protezione dei file e del Secure Enclave, elementi centrali nel determinare le effettive condizioni di accesso alle informazioni. In tale modello, i dati non risultano semplicemente cifrati, ma diventano accessibili o inaccessibili in funzione dello stato del dispositivo e della disponibilità delle chiavi crittografiche in memoria.
L’analisi evidenzia altresì come la distinzione tra BFU (Before First Unlock) and AFU (After First Unlock) sia spesso più determinante della tecnica di acquisizione stessa: anche metodologie più avanzate potrebbero risultare inefficaci senza le corrette condizioni operative.
In questo contesto, la digital forensics su iOS deve necessariamente evolvere da un approccio centrato sull’estrazione dei dati a uno focalizzato sulla gestione della loro accessibilità, richiedendo una comprensione sempre più approfondita delle dinamiche tra cifratura, sandboxing e stato del dispositivo, ma anche grande capacità di adattamento degli investigatori ai diversi scenari, preservando al contempo integrità e ammissibilità delle prove.
If you wish to learn more, here is the link to our studio complete.
In addition, you can subscribe to the specific mailing list Cyber Studios by T-Defenceto receive updates on upcoming research:
