Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Forensik-Tool soll gelöschte Notizen aus iCloud auslesen können

Der Softwareanbieter Elcomsoft hat seine App "Phone Breaker" um eine Funktion erweitert, die den Umstand ausnutzt, dass Apple offenbar auch vom Nutzer eigentlich vernichtete Notizen länger aufbewahrt.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Forensik-Tool soll gelöschte Notizen aus iCloud auslesen können

Apples Notiz-App – hier auf dem Mac.

(Bild: Screenshot via Apple Support Communities)

Lesezeit: 3 Min.
Mac & i
Von
Inhaltsverzeichnis

Laut Angaben eines russischen Forensiksoftware-Spezialisten ist es möglich, aus iCloud vom Nutzer bereits gelöschte Notizen zu rekonstruieren. Die neue Version 6.5 des Elcomsoft Phone Breaker (EPB) soll dies erlauben. "ElcomSoft konnte feststellen, dass alle Notizen, die als "gelöscht" markiert wurden, für eine unbestimmte Zeit weiterhin in der Cloud aufbewahrt werden", erklärt die Firma. Sowohl die Windows- als auch Mac-Versionen von EPB könnten solche gelöschte Notizen einschließlich Anhänge direkt aus iCloud-Konten extrahieren. Dafür sind die Zugangsdaten (Apple ID) notwendig.

Schon zweimal geschlampt

Im Februar hatte es bereits ein ähnliches Problem gegeben. Damals wurde bekannt, dass iCloud beim Löschen des Browser-Verlaufs, der sich über mehrere iOS- und Mac-Geräte automatisch abgleichen lässt, zu schlampen scheint. Auch wenn Nutzer ihre Surftripps eigentlich löschten, blieben URLs in einer SQLite-Datenbank in iCloud über mehrere Wochen erhalten – darunter auch der exakte Zeitpunkt, wann die jeweilige URL zuletzt aufgerufen und wann sie vom Nutzer gelöscht wurde.

Apple ging das Problem später allerdings an und reduzierte die Einsicht in gelöschte Verlaufseinträge. Zuvor gab es ein ähnliches Problem mit der iCloud-Fotomediathek, die Fotos länger als die Löschperiode von 30 Tagen vorhielt – möglicherweise sogar über Jahre, wie Elcomsoft im August 2016 behauptete.

Notiz-App erlaubt einfachen Abgleich

Apples Notizen-App ist für iOS und macOS erhältlich und wurde in den vergangenen Jahren erheblich im Funktionsumfang erweitert. So lassen sich etwa auch auf dem iPad Pro mit dem Apple Pencil Zeichnungen anlegen. Ist der Notizen-Abgleich in iCloud aktiviert, stehen die Einträge auf allen mit dem Konto verknüpften Geräten zur Einsicht bereit.

Elcomsoft schreibt weiter, Apple lasse die Nutzer über die weitere Existenz gelöschter Daten völlig im Unklaren, da iCloud-Benutzer keinen Zugriff auf die Datensätze haben – dazu würden sie ein Forensikwerkzeug wie EPB benötigen. "Die meisten Benutzer erwarten von Cloud-Anbietern, dass diese alle Daten löschen, die sie entfernt hatten." Es ist unklar, wie Apple auf die Offenlegung reagieren wird – und warum gelöschte Einträge nicht wirklich gelöscht werden.

Tool für Polizeibehörden

EPB wendet sich vor allem an Polizeibehörden, die Nutzeraccounts überprüfen wollen. Die Anwendung ist in ihrer Forensikversion bis zu 800 Euro teuer, wird aber auch in einer abgespeckten "Home"-Version für 80 Euro angeboten. iCloud-Funktionen sind darin aber nicht enthalten.

[Update 19.05.17 19:22 Uhr:] Elcomsoft hat seine Vorgehensweise in einem Blogeintrag näher ausgeführt. Zur Anzeige wird der Elcomsoft Phone Viewer verwendet, der nochmals knapp 80 Euro kostet. (bsc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: iOS

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten