Een forensische tool van het Russische Elcomsoft die vorig jaar in het nieuws kwam omdat die zou zijn gebruikt voor het stelen van naaktfoto's van beroemdheden, is nu in staat om alle soorten data uit zowel Apple iCloud als iCloud Drive te halen. Het gaat om alle Apple-data, alsmede data van derde applicaties.

Daarnaast kan de nieuwe versie van de Elcomsoft Phone Breaker nu ook de keychain in iCloud-back-ups ontsleutelen. Hiervoor is wel vereist dat de "securityd-sleutel" fysiek van het toestel is gehaald. Het Russische softwarebedrijf zou bijna een half jaar bezig zijn geweest om de nieuwe communicatieprotocollen van iCloud Drive te reverse-engineeren en de software te schrijven om met de iCloud Drive-servers te communiceren.

ICloud Drive

ICloud Drive is een upgrade van Apple iCloud en laat gebruikers allerlei soorten gegevens in de cloud opslaan. Gegevens die via een Windows- of Mac-computer zijn te benaderen. Sommige gegevens zoals iOS-back-ups en opgeslagen iOS-appdata worden echter gescheiden opgeslagen. Deze data zijn alleen benaderbaar door een back-up op een nieuw iOS-toestel terug te plaatsen. De software van Elcomsoft is nu in staat om applicatiedata van gebruikersaccounts te benaderen die naar iCloud Drive zijn geüpgraded. Daarnaast biedt de software ook toegang tot iOS-back-ups.

Keychain

Een andere grote aanpassing is de mogelijkheid om de keychain uit iCloudback-ups te ontsleutelen. De keychain bevat allerlei gevoelige informatie, zoals accountwachtwoorden en certificaten. Op het toestel zelf is de keychain versleuteld door een combinatie van hardware en software. Zodra de keychain in een back-up wordt opgeslagen verandert het beveiligingsniveau, afhankelijk van het soort back-up. Als de gebruiker een lokale met wachtwoord beveiligde back-up via iTunes maakt, is de keychain versleuteld met een sleutel die van het back-upwachtwoord afhankelijk is.

Via het back-upwachtwoord kunnen de meeste zaken in de keychain worden ontsleuteld. Als de lokale back-up zonder wachtwoord wordt gemaakt zal de keychain worden versleuteld met een hardware-afhankelijke sleutel, die voor elk toestel uniek is. Deze toestel zal waarschijnlijk gedurende de levensduur van het toestel niet veranderen. Zodra de sleutel is achterhaald kan die ook voor toekomstige back-ups worden gebruikt.

Deze keychains zijn echter alleen op het zelfde fysieke toestel terug te plaatsen en met dezelfde hardware-afhankelijk decryptiesleutel te ontsleutelen. Als deze sleutel van het fysieke toestel is gehaald, is het vervolgens wel mogelijk om alle data uit de keychain te ontsleutelen buiten het toestel om. Als laatste is er nog de mogelijkheid om een iCloudback-up te hebben waarbij de keychain met het apparaatwachtwoord is beveiligd. Dit is vergelijkbaar met de iTunes-back-ups zonder wachtwoord. Alle drie de soorten keychains zijn volgens Elcomsoft nu te ontsleutelen, mits de hardware-afhankelijke sleutel aanwezig is.