bergfreund schrieb:Hier ein Beispiel aus 2012 für das "schnelle" Ausschalten eines iphone 4 während des Bootens - ohne Wasserschaden oder Interaktion durch den Nutzer.
Wenn das Gerät beim Booten hängenbleibt, gibt es einen Crashreport:
{"os_version":"iPhone OS 7.0.6 (11B651)" [..]
Incident Identifier: [..]93BD-54C4578DC834
CrashReporter Key: [..]ab68c570ab9860bdaf6fc
Date: 2024-08-14 19:59:20 +0200
Boot failure count: 1
Boot faults: wdog wdog
Boot stage: 47
[..]
Bis 5. April morgens wurde der SIM-Pin eingegeben, also vollständig gebootet, Teildefekt äußerst unwahrscheinlich, sonst weitere Crash-Reports. Ab 5. April mittags gäbe es einen Boot-Crashreport mit Hochzählen des "Boot failure Count".
ringelnatz schrieb:Es fehlen also nicht nur am 11.04. Logs, die eigentlich hätten aufgezeichnet werden müssen - und somit auch festgehalten und eingeordnet hätten werden müssen!?
Oder fehlten sie (und dann vielleicht auch noch andere??) schon immer?
Das weiß ich nicht ohne die Originallogs zu sehen. Aber ich weiß, auch ohne die Originallogs zu sehen, dass ein funktionierendes Gerät (sonst Crashreports) spätestens nach 15-20 Sekunden wieder Heruntergefahren wurde.
#
Outback schrieb:Gleichzeitig müsste ein Forensiker durch Rumdrücken auf Einschalttaste und Homebutton oder durch Akkuwechsel den DFU-Mode aufgehoben haben. Vllt. schaltet sich der DFU-Mode bei leerem Akku auch alleine aus. Im DFU-Mode gäbe es bei leerem Akku vermutl. auch keinen Crashreport, aufgrund dessen Fehlens die Forensiker scheinbar ein aktives Ausschalten schlussfolgerten.
Dazu ein abschließendes Update (DFU-Mode-Szenario am 11. April):
Durch leeren Akku oder Akkuwechsel oder Akku Aus- / Einbau beendet sich der DFU-Mode automatisch und für Ermittler nicht ersichtlich. Im DFU-Mode wir bei leerem Akku kein Crashlog und keine LowBattery-Warnung erstellt. Deshalb gibt es 2 mögliche Schlussfolgerungen:
1. Das iPhone wurde am 11. April aktiv ausgeschaltet oder
2. Das iPhone entleerte sich im DFU-Mode vollständig
Für den Nachweis der Benutzung des Low Level DFU-Modes selbst finde ich keine persistenten Logs. Aber das Verbinden mit dem Lade-/Datenkabel wird geloggt:
Kabel verbinden und automatisch booten
Tue Aug 13 18:48:52 2024 pid=53 (0x3d7fe18c) main: Starting Up
[..]
Tue Aug 13 18:49:25 2024 pid=53 (0x3d7fe18c) _bump_connection_count: connectionCount now 3 usbHostConnected true pairableHostConnected false unpairedPtpAllowed false
Tue Aug 13 18:49:25 2024 pid=53 (0x3d7fe18c) _bump_connection_count: connectionCount now 4 usbHostConnected true pairableHostConnected true unpairedPtpAllowed false
Kabel verbinden und Handy nach dem Booten sofort wieder ausschalten
Tue Aug 13 18:59:36 2024 pid=54 (0x3b79e18c) main: Starting Up
[..]
Tue Aug 13 18:59:54 2024 pid=54 (0x1a45000) set_response_error: handle_is_host_trusted InvalidHostID
Das wären beides echte Beweise für FP und die gab es wohl nicht.
Es gibt Möglichkeiten, diese Logs zu umgehen [getestet]. Mit dem DFU-Mode wäre der 11. April technisch erklärbar und es ist mE die einzige Möglichkeit ohne Jailbreak, (weitgehend) spurenlos und mit Root-Rechten auf das iPhone zuzugreifen. Ich denke trotzdem, dass sich nur ein Profi zutrauen würde das iPhone gezielt zu manipulieren, wenn er es anschließend quasi freiwillig den Forensikern zur Verfügung stellt. Der kleinste Fehler, die kleinste Unkenntnis und schon kommt Pitti mit der Großrazzia um die Ecke. :-)
