Wetshandhavingsinstanties worden geconfronteerd met onverwachte uitdagingen nu iPhones tijdens hun hechtenis automatisch opnieuw opstarten, wat de toegang tot potentieel vitale gegevens bemoeilijkt. Deze recente ontwikkeling lijkt voort te komen uit een nieuwe beveiligingsfunctie in iOS 18.1, ontworpen om gecodeerde gegevens te beveiligen door het apparaat na een periode van inactiviteit terug te brengen naar een meer vergrendelde staat.
Politie gealarmeerd door mysterieuze reboot van iPhone
Een nieuw verworven document van 404 Media onthult dat politiekorpsen, vooral in Detroit, iPhones tegenkwamen die onverwachts opnieuw opstartten nadat ze uit mobiele netwerken waren verwijderd. De auteurs van het document speculeren dat de nieuwste update van Apple een beveiligingsmaatregel bevat die apparaten ertoe aanzet opnieuw op te starten als ze al een tijdje niet met een mobiele dienst zijn verbonden – een situatie die kan optreden terwijl een telefoon wordt opgeslagen voor forensische evaluatie. Dit opnieuw opstarten is een serieuze zaak voor onderzoekers, want zodra een iPhone opnieuw opstart, verandert de status in Before First Unlock (BFU), waar toegang aanzienlijk moeilijker is via forensische tools.
Volgens observaties in het wetshandhavingsdocument kunnen deze onverwachte herstarts binnen slechts 24 uur plaatsvinden. Bijgevolg kunnen telefoons die cruciaal zijn voor strafrechtelijk onderzoek lastiger te analyseren zijn. Een wetshandhavingsfunctionaris merkte kort en bondig de urgentie van de situatie op en zei: “Het doel van deze mededeling is om het bewustzijn te vergroten over een situatie waarbij iPhones betrokken zijn, waardoor iPhone-apparaten in korte tijd opnieuw opstarten wanneer ze van een mobiel netwerk worden verwijderd.”
Bovendien versleutelt Apple’s nieuwe ‘inactivity reboot’-functie automatisch de gegevens opnieuw na langdurige perioden van inactiviteit, waardoor een extra beveiligingslaag wordt toegevoegd en de herstelinspanningen voor de politie worden bemoeilijkt. Jiska Classen, onderzoeker bij het Hasso-Plattner-Institut, uitgelegd dat bij het ontgrendelen van een iPhone (via een pincode of Face ID) het besturingssysteem de coderingssleutels in het geheugen laadt. Na een herstart komt het apparaat echter in een toestand waarin het deze sleutels niet meer bewaart, wat betekent dat gegevens ontoegankelijk worden voor zowel onderzoekers als kwaadwillende actoren.
Apple heeft de implementatie van deze nieuwe functie niet direct bevestigd, hoewel opgemerkt is dat het mechanisme op systeemniveau werkt. Het fungeert als een extra wegversperring tegen pogingen om gegevens te extraheren van apparaten die door verdachten worden gebruikt. Naar verluidt kan dit proces ook traditionele methoden voor het extraheren van gegevens dwarsbomen, waardoor de privacy van gebruikers behouden blijft, zelfs in controversiële juridische situaties waarin de telefoon het belangrijkste bewijsmateriaal is.
De trend is een tweesnijdend zwaard, dat verbeterde veiligheid biedt, maar ook onbedoeld de rechtshandhavingsinspanningen belemmert. Omdat iPhones niet alleen persoonlijke informatie scherp bewaken, maar ook voortdurend evolueren met updates, wordt onderzoekers geadviseerd hun methoden dienovereenkomstig aan te passen. Wat dit betekent voor toekomstige forensische procedures valt nog te bezien, maar het is duidelijk dat als je een leven vol misdaad plant in het digitale tijdperk, je veel succes zult hebben met het omzeilen van die steeds slimmer wordende iPhones.
