Wollen staatliche Behörden Beweise von Smartphones sichern, sind sie auf die Fähigkeiten von Datenforensikspezialisten angewiesen. Diese nutzen Programmierfehler in Betriebssystemen, um Sicherheitsmaßnahmen zu umgehen und Nutzerdaten auszulesen. In diesem Markt stechen zwei große Wettbewerber heraus: Graykey und Cellebrite. Ein von 404 Media veröffentlichtes Datenleck beim Graykey-Hersteller Grayshift offenbarte nun einen recht aktuellen Stand, was mit aktuellen Versionen der Software möglich ist: Bei aktuellen iOS-Versionen ist lediglich ein teilweiser Datenabgriff möglich, sofern es sich um ein iPhone 12 oder neuer handelt. Aktuelle Beta-Versionen sperren Graykey zuverlässig aus.


404 Media ließ sich von mehreren Forensik-Experten die Authentizität der geleakten Dokumente bestätigen. Stand der an die Öffentlichkeit gelangten Informationen ist Oktober. Eine Tabelle listet auf, wie erfolgreich die Graykey-Software beim Entschlüsseln unterschiedlicher iPhone-Modelle zu diesem Zeitpunkt war: Aus iPhone-11-Modellen kann Graykey laut dieser Angabe sämtliche Daten auslesen, sofern iOS 18.0.1 installiert ist. Bei neueren iPhones gelingt der Forensik-Software nur eine teilweise Extraktion der gespeicherten Informationen. Geräte mit Beta-Version von iOS 18.1 konnte Graykey nicht entschlüsseln.


In kürzester Zeit nicht mehr aktuell
Im April dieses Jahres war Konkurrent Cellebrite von einem ähnlichen Datenleck betroffen: Eine Präsentation, die für zahlende Kunden vorgesehen war, gelangte an die Öffentlichkeit. Der damalige Stand: Aus älteren iOS-Versionen konnte Cellebrite Daten teilweise extrahieren, das zu dem Zeitpunkt aktuelle iOS 17.4 war sicher. Die geleakte Liste kann bereits veraltet sein, iOS 18.1 stellt vielleicht keine Hürde für Graykey mehr dar. Jedoch schließt Systemhersteller Apple ebenfalls regelmäßig Lücken. Erst gestern veröffentlichte Apple Sicherheits-Updates für iOS und MacOS. Mit iOS 18.1 gewann das Mobilbetriebssystem zudem ein weiteres Sicherheits-Feature hinzu: Nach mehreren Tagen ohne Nutzerinteraktion startet ein iPhone selbstständig neu – und versetzt das Gerät damit in einen sichereren Modus.