Forensische Investigation - iPhone

Anthurium schrieb:Meinst du am 3 April um 16 uur? Weil am Mittag des 3 Aprils die Entsperr Code correct eingegeben wurde und das Handy mindestens 3 Minuten eingeschaltet geblieben war. Laut IP und VIP hatte die Batterie 39%. Wurde auch dieser Akkustand von 39% geschätzt?

Ich verstehe dass für 11:47 (3 April) keine Powerlogs gefunden wurden, aber für 16:03 doch wohl?

Genau, ich hatte Hunger und hab schon um 11:46 Uhr Mittag gemacht. ^^

Der Akkustand von 39% wurde nicht geschätzt, sondern basiert auf so einem Powerlog-Eintrag (nachgestellt):

04/03/14 16:02:31 [Battery] level=39.00%; voltage=3742 mV; current=-195 mA; current_capacity=488 mAh; raw_max_capacity=1255 mAh; charging_state=lnactive; charging_current=0 mA; battery_temp=26.20 C; adapter_info=0; connected_status=0;

@Outback
Da ich alles soviel möglich verstehen will, habe ich diese Tabelle gemacht. Gibt die Tabelle die Bedingungen korrekt wieder?

Anthurium schrieb:Gibt die Tabelle die Bedingungen korrekt wieder?

Ouaip, das ist absolut korrekt.

Allerdings sind die Bootzeit (45 Sek.) und die weitere Betriebszeit (20 Sek.) = Gesamtzeit ab Einschalten 1:05 Minute bis das Generieren der Powerlogs beginnt keine festen Werte, sondern individuell bei jedem iPhone 4 etwas anders (je nach Konfiguration, Background-Apps, Speicherauslastung, Jailbreak, Spy-App etc.). Als normal würde ich 1:05 bis 1:20 Minute ansehen, bei Kris' iPhone gehe ich von auffällig langsamen fast 2 Minuten aus, auch schon vor dem 1. April. Grundsätzlich ändert das an der Logik in deiner Tabelle aber nichts.

Outback schrieb:und hab schon um 11:46 Uhr Mittag gemacht.

Danke für alle Erklärungen .... ich habe noch eine Frage(!): in deiner Tabelle sehe ich dass die SIM-Pin wurde eingegeben am 3 April 11:46. Stimmt das? Weder IP noch VIP haben das beschrieben, aber vielleicht waren ihren Informationen nicht komplett?

Anthurium schrieb:ich habe noch eine Frage(!)

Och frag ruhig. kein Problem, jede Frage verbessert die Qualität.

Anthurium schrieb:in deiner Tabelle sehe ich dass die SIM-Pin wurde eingegeben am 3 April 11:46. Stimmt das? Weder IP noch VIP haben das beschrieben, aber vielleicht waren ihren Informationen nicht komplett?

Die Log-Einträge, welche die richtige Eingabe der SIM-Pin beweisen, sind im NFI-Report mWn. leider nicht dokumentiert.

Matt / IP schreibt zum 5. April: On all previous times the phone was powered up, the SIM pin was entered correctly.

Romain schreibt: Parmi ces soixante-quatorze démarrages, seulement quatre d’entre-eux ont eu lieu sans que le code PIN de la carte SIM ne soit entré. Ces quatre absences d’entrée du code PIN de la carte SIM ont toutes eu lieu à partir du 5 avril 2014 durant la disparition.

ViP hat in der Tabelle Telefonprotokoll im Anhang alle Zeitpunkte ohne SIM-Pin mit dem Tag "NO Pin" markiert, der 3. April 11:46 Uhr gehört nicht dazu.

#

Daraus ergibt sich durch 3 Quellen belegt, dass der SIM-Pin auch am 3. April 11:46 Uhr richtig eingegeben wurde.

Outback schrieb:Matt / IP schreibt zum 5. April: On all previous times the phone was powered up, the SIM pin was entered correctly.

Romain schreibt: Parmi ces soixante-quatorze démarrages, seulement quatre d’entre-eux ont eu lieu sans que le code PIN de la carte SIM ne soit entré. Ces quatre absences d’entrée du code PIN de la carte SIM ont toutes eu lieu à partir du 5 avril 2014 durant la disparition.

ViP hat in der Tabelle Telefonprotokoll im Anhang alle Zeitpunkte ohne SIM-Pin mit dem Tag "NO Pin" markiert, der 3. April 11:46 Uhr gehört nicht dazu.

Ist es überhaupt technisch möglich um die SIM-Pin ein zu geben ohne zuerst die Entsperr Code ein zu geben?

So wie ich es habe verstanden (ich weiss nicht ob ich es richtig habe); wenn die SIM-pin eingegeben wird/würde, bedeutet das automatisch dass eher auch die richtige Entsperr Code wurde eingegeben. Umgekehrt, wenn keine richtige Entsperr Code wird eingegeben, kann man keine SIM-pin eingeben, aber könnte man wohl einige Apps bedienen ('Bug-Geschichte').

Also wenn am 3 April um 11:46 (und auch am 4+5 April) die SIM-pin wurde eingegeben, wurde auch die richtige Entsperr Code eingegeben.

Jedoch: die Beschreibungen in VIP und im Artikel von Matt/IP geben zu denken dass am 3 April um 11:46 keine Entsperr Code und keine SIM-Pin eingegeben wurden. Ich habe die englische Version von VIP: At 11:47 a.m., the phone is switched on again and immediately switched off again without any action*. Für mich bedeutet das dass weder eine Entsperr Code noch die SIM-pin wurden eingegeben.

Matt/IP: The iPhone4 was powered on and then powered off. => keine Actionen, also keine Entsperr Code und keine SIM-Pin (???)
https://imperfectplan.com/2021/03/10/kris-kremers-lisanne-froon-forensic-analysis-of-phone-data/

*Hardinghaus, Christian; Nenner , Annette . Still Lost in Panama : The Real Tragedy on Pianista Trail. The case of Kris Kremers and Lisanne Froon (p. 163). Kindle Edition.

Anthurium schrieb:Ist es überhaupt technisch möglich um die SIM-Pin ein zu geben ohne zuerst die Entsperr Code ein zu geben?

Ja. Dazu rufst du bei gesperrtem Handy das Kontrollzentrum und dann den Taschenrechner auf. Bevor du nun eine Rechnung wie 2+2 eingeben kannst, fordert dich iOS 7 dazu auf, den SIM-Pin einzugeben, obwohl das überhaupt keinen Sinn ergibt.

Anthurium schrieb:wenn keine richtige Entsperr Code wird eingegeben, kann man keine SIM-pin eingeben, aber könnte man wohl einige Apps bedienen ('Bug-Geschichte').

Nein, das hat mit den Bugs nichts zu tun. Die Apps des Kontrollzentrums (wie Taschenrechner) kann man ganz offiziell auch bei gesperrtem Handy verwenden.

Anthurium schrieb:So wie ich es habe verstanden (ich weiss nicht ob ich es richtig habe); wenn die SIM-pin eingegeben wird/würde, bedeutet das automatisch dass eher auch die richtige Entsperr Code wurde eingegeben.

So ist es von Apple auch vorgesehen und entspricht der normalen Bedienung. Aber durch den "Taschenrechner-Bug" kann man die Eingabe des Entsperr-Codes umgehen. Das Handy wird dadurch zwar nicht entsperrt, aber durch die Eingabe der SIM-Pin startet die Signalsuche und das Verbinden mit dem Roaming-Netz.

#

Natürlich ist es extrem unwahrscheinlich, dass die Frauen den SIM-Pin auf diese Weise eingaben. Der Entsperrcode war 0556, leicht zu merken und quasi genauso schnell einzugeben wie der Aufruf des Kontrollzentrums und dann noch der Aufruf des Taschenrechners.

Anthurium schrieb:without any action*. Für mich bedeutet das dass weder eine Entsperr Code noch die SIM-pin wurden eingegeben.

Für mich bedeutet das, dass keine App-Nutzung festgestellt werden konnte, weil keine Powerlogs existieren.

Anthurium schrieb:Matt/IP: The iPhone4 was powered on and then powered off. => keine Actionen, also keine Entsperr Code und keine SIM-Pin (???)

Keine Action = keine Powerlogs, sonst würde sich Matt am 5. April doch widersprechen mit "On all previous times the phone was powered up, the SIM pin was entered correctly".

@Doctective

Kannst du etwas dazu sagen, wie der NFI-Forensiker das formuliert hat, sodass du, Matt und Romain davon ausgehen, dass der SIM-Pin bei allen 70 Startvorgängen vom 31. Juli 2013 bis 5. April 2014 10:50 Uhr IMMER eingegeben wurde?

Outback schrieb:Nein, das hat mit den Bugs nichts zu tun.

Danke, ich weiß nicht, ob es wichtig ist, aber ich meinte damit Bug2 (nicht Bug1). Alles zusammen, muss ich dieses Thema erneut und besser beobachten .... Und ich halte es auch für unwahrscheinlich, dass die beide Frauen auf diese Weise die SIM-pin eingaben.

Wenn man die SIM-pin über das Kontrollzentrum eingebt, werden dann überhaupt Logs produziert? Damit meine ich keine Powerlogs. Wird zB der Taschenrechner Spuren hinterlassen? Kann man zB an irgendeine Sequenz oder Muster ableiten dass die SIM-pin über das Kontrollzentrum oder auf normaler Weise eingegeben wird?

Anthurium schrieb:Wenn man die SIM-pin über das Kontrollzentrum eingebt, werden dann überhaupt Logs produziert? Damit meine ich keine Powerlogs. Wird zB der Taschenrechner Spuren hinterlassen? Kann man zB an irgendeine Sequenz oder Muster ableiten dass die SIM-pin über das Kontrollzentrum oder auf normaler Weise eingegeben wird?

Sowohl der Aufruf des Kontrollzentrums als auch das Starten und Beenden des Taschenrechners wird nur in den Powerlogs geloggt:


11/19/24 17:59:36 [SpringBoard-screens] Screens=controlcenter;

11/19/24 17:59:38 [Application] id=com.apple.calculator; pid=245.00; mode=Foreground Running; reason=<unknown>; display_name=Calculator; executable=Calculator;

11/19/24 17:59:38 [Battery] level=95.83%; voltage=3861 mV; current=-262 mA; current_capacity=896 mAh; raw_max_capacity=935 mAh; charging_state=Inactive; charging_current=0 mA; battery_temp=25.80 C; adapter_info=0; connected_status=0;

11/19/24 17:59:42 [Application] id=com.apple.calculator; pid=245.00; mode=Background Running; reason=suspend; display_name=Calculator; executable=Calculator;

11/19/24 17:59:42 [Application] id=com.apple.calculator; pid=245.00; mode=Background Task Suspended; reason=<unknown>; display_name=Calculator; executable=Calculator;


Durch Bug 1 werden ohne Eingabe des Entsperrcodes 0556 blöderweise keine Powerlogs gespeichert und auch kein automatischer Snapshot (Screenshot) beim Aufruf des Taschenrechners erstellt. Es bleibt also spurenlos, bis auf den Log der SIM-Pin-Eingabe, der nicht in den Powerlogs sondern in der lockdownd.log Datei gespeichert wird.

Plausibilitätstabelle hinzugefügt



Logik-Tabelle von @Anthurium hinzugefügt

News: Die richtige Eingabe des Entsperr-Codes lässt sich lt. ersten Tests indirekt über den security.log ableiten. Damit wäre die Relevanz der Bugs eindeutig nachweisbar, hätte man die DVDs. :-)

Ich habe nochmals gelesen. Imperfect Plan sagt über den 5 April - 13:37; Whoever entered the SIM Pin incorrectly (or did not enter it) must have known the Login pin to unlock the phone. (Jetzt weiss man dass keine SIM Pin eingegeben wurde.)
https://imperfectplan.com/2021/03/10/kris-kremers-lisanne-froon-forensic-analysis-of-phone-data/

Mit ihrer Bemerkung behaupt IP dass am 5 April die Entsperr-Code wohl eingegeben wurde (und auch an den anderen Tagen) ....

Outback schrieb:News: Die richtige Eingabe des Entsperr-Codes lässt sich lt. ersten Tests indirekt über den security.log ableiten.

Meinst du damit dass die richtige Eingabe des Entsperr-Codes gespeichert wird in die Security Logs? Also nicht in die BootLogs(?)
Das würde bedeuten dass wenn keine Entsperr-Code eingegeben wird (so wie am 11 April), die Eingabe in die Logs würde fehlen?

Anthurium schrieb:Whoever entered the SIM Pin incorrectly (or did not enter it) must have known the Login pin to unlock the phone.

Ich verstehe, wie Matt vermutlich darauf kommt, weil ich am Anfang dasselbe geschlussfolgert habe. Diese Schlussfolgerung ist jedoch falsch. Allerdings weiß ich nicht, ob Matt das aus dem NFI-Report übernommen oder selbst geschlussfolgert hat.

Anthurium schrieb:Meinst du damit dass die richtige Eingabe des Entsperr-Codes gespeichert wird in die Security Logs? Also nicht in die BootLogs(?)

Nicht direkt, sondern indirekt:

Entsperr-Code nicht eingegeben: Security-Log bricht nach 7 Zeilen ab mit der Meldung "Keybag never unlocked, ask after first unlock"

Entsperr-Code eingegeben: Security-Log hat > 30 Zeilen mit der Meldung "Keybag Did Unlock"

Es sieht so aus (wie zB auch bei Linux üblich), dass der Entsperr-Code den Keybag oder Keyring entsperrt, der Passwörter und kryptografische Schlüssel (Apple-Account) enthält, um zB auf die iCloud zuzugreifen.

Mal grundsätzlich:

Neben dem Security Log, Keybag, Keychain, Entsperren / Decrypt via Hardware-Key und Handy Entsperr-Code gibt es noch weitere interessante Dateien (network.identification, wifi, etc.), die zB die "List of known networks" (Router / Access Points und Mobilfunkmasten) enthalten, u.a. mit Timestamps der letzten Verbindung, WiFi SSID, WiFi BSSID (Router / AP MAC-Adresse), Location-Infos (GPS cache), Cell-Infos etc. (getestet).

Die weitere Erforschung wäre zwar sehr interessant (zB Nelvis-WLAN) jedoch sinnlos, da man ohne die DVDs nie zu einem Ergebnis kommt. Daher beschränke ich mich hier auch nur auf Dinge, die mithilfe der Daten des NFI-Reports neue Erkenntnisse liefern können, was nach 10 Jahren eh erstaunlich ist.