Wer Daten von seinem iPhone löscht, geht davon aus, sie nie wiederzusehen – insbesondere bei persönlichen Fotos und Videos. Deswegen war die Verwunderung auch groß, als vereinzelte iOS-Anwender davon berichteten, dass längs gelöschte Aufnahmen unter i(Pad)OS 17.5 plötzlich wieder in der Bildersammlung auftauchten – und das angeblich teilweise sogar, nachdem das Gerät den Anwender gewechselt hat. Apple reagierte schnell und behob das Problem. Das Sicherheitsunternehmen Synacktiv hat das Update datenforensisch ausgewertet und festgestellt: Um den Fehler zu beheben, entfernte Apple eine Funktion, die 17.5 erstmalig eingeführt wurde.


Nach den Erkenntnissen von Synacktiv hat sich im Update auf 17.5.1 nur eine Funktion maßgeblich verändert, die im Zusammenhang mit der Bildersammlung steht, nämlich "_PLModelMigrationActionRegistration_17000". Sie übernimmt Aufgaben, die bei der Aktualisierung der Mediendatenbank erforderlich sind. Die Version in iOS sowie iPadOS 17.5.1 entfernt die Registrierung von "PLModelMigrationAction_ResetFilesystemImportToken". Die Sicherheitsforscher untersuchten die Verwendung dieses Tokens und schlussfolgerten, dass mit der Veränderung der Import-Prozess von Medien aus dem iOS-Dateisystem unterbunden wurde. An welchen Orten im iOS-Dateisystem nach Bildern gesucht hat und warum dort Kopien längst gelöschter Versionen erschienen, konnten sie aus der Code-Analyse nicht schließen.

Schneller Patch
Weitere nennenswerte Veränderungen rund um die Dateiverwaltung konnten die Datenforensiker nicht entdecken. Dementsprechend lautet ihr Fazit: Zukünftig werden Apples mobile Betriebssysteme keine gelöschten Bilder mehr importieren; eventuell schlummern im iOS-Dateisystem allerdings weiterhin die irrtümlich weiterbestehenden Bildkopien, die iOS und iPadOS 17.5 aufgespürt hatte. Diese stammen stets von dem aktuellen Benutzer – oder von jemandem, der das Gerät zu früheren Zeiten einmal benutzt hat, ohne es bei der Übergabe zurückzusetzen. Falls iOS oder iPadOS 17.5 gelöschte Medien wiederhergestellt hat, muss man sie manuell entfernen – unter Version 17.5.1 bleiben sie dauerhaft gelöscht.


Forensik war mehrstufiger Prozess
Für das Aufspüren und Vergleichen relevanter Komponenten der iOS-Versionen mussten die Sicherheitsexperten mehrere Hürden meistern. Als wichtigstes Werkzeug nennen sie das Kommandozeilen-Tool ipsw – damit durchforsteten sie die "dynamic libraries" beider Systemversionen nach nennenswerten Veränderungen. Nachdem sie relevante Code-Segmente aufgespürt hatten, verwendeten Sie das Binärcode-Analyse-Werkzeug IDA in Kombination mit BinDiff.

Moral der Geschichte: Gerät zurücksetzen vor Weitergabe
Solange ein betroffenes Gerät im eigenen Besitz befindet, wird sich der Schaden bei wiederbelebten Medien in Grenzen halten. Wer sein iPhone oder iPad weitergibt, sollte stets das komplette Gerät löschen, entweder über "Wiederherstellen" am Mac oder direkt am Gerät über Einstellungen/iPhone übertragen/zurücksetzen/Zurücksetzen. In diesem Fall wird das Laufwerksverzeichnis entfernt – damit sind bei flash-basierten Datenträgern die vormaligen Daten so gut wie nicht rekonstruierbar. Beschränkt man die Migration auf das Abmelden der Apple-ID, schlummern viele sensitive Daten auf dem Gerät, die auch ohne einen Programmierfehler des Herstellers aufzuspüren sind.