macOS 15 (Sequoia)：取证人员需要了解的内容

macOS 15 (Sequoia)：取证人员需要了解的内容

  

Apple 最新的 macOS 15 (Sequoia) 包含大量更新，可能会影响法医调查，尤其是对于处理 Apple 设备的检查员而言。凭借新的隐私功能、扩展的功能和更深入的 AI 集成，有很多内容需要解读。让我们分析一下关键变化以及它们对您未来法医工作的影响。

对数字取证至关重要的 macOS 15 功能

 密码即应用

新功能： Apple 已将“密码”选项卡变成一款功能齐全的应用程序。它适用于 iPhone、iPad、Mac、Apple Vision Pro 甚至 Windows（通过 iCloud），提供密码管理、密钥和双因素身份验证 (2FA) 代码。

对检查员的意义：对于调查员来说，这种密码和凭证的集中化管理可能是个金矿。现在，所有存储的登录数据（包括共享凭证）都可以通过一个应用程序访问，从而提供一种更直接的凭证追踪方式。

 预定消息

新功能：用户现在可以安排稍后发送的消息，使沟通更加灵活。

对审查人员的意义：这在审查消息日志时又增加了一层复杂性。预定消息可能是时间线重建的关键，尤其是在协调通信是一个因素的情况下。

 已下载的地图

新功能：用户可以下载选定区域以供离线地图使用，包括自定义远足路线。

对调查人员的意义：此功能为追踪离线活动提供了更多可能性。调查人员现在可以从这些下载的地图中找到传统在线活动日志中不会出现的位置数据。

 HomeKit 访客访问

新功能：用户可以在特定时间授予客人临时访问家庭安全系统（如车库门或警报器）的权限。

对调查人员的意义：这可能成为涉及共有财产访问权的调查中的一个关键细节。追踪谁有权访问房屋以及何时可以对各种案件提供有价值的背景信息。

 在 Mac 上镜像 iPhone

新功能：用户现在可以直接从 Mac 操作 iPhone，即使 iPhone 本身处于锁定状态。通知、应用程序和其他功能都会镜像到 Mac 屏幕上，带来无缝体验。

对检查员的意义：根据我们目前的测试，在 iPhone 镜像期间，没有任何工件直接存储在 Mac 上。所有交互数据都保留在 iPhone 上，这意味着取证检查员仍需要从 iPhone 本身检索信息。镜像过程似乎使用了 AirPlay 和 AirDrop 协议的组合，蓝牙建立连接，Wi-Fi 实现更快的数据传输。虽然此功能为用户提供了便利，但它目前并未在 Mac 端提供新的取证数据源。

 Safari 亮点和画中画

新功能： Safari 现在可以突出显示重要的网页信息，例如方向和快速链接，并且您可以将视频置于画中画模式以实现更好的多任务处理。

对检查员的意义：保存网页亮点的功能可能有助于调查人员追踪浏览行为或意图。此外，画中画视频会话的缓存数据或日志可以深入了解用户如何与网页内容互动。

 轮换 Wi-Fi 地址

新功能： Apple 添加了旋转 Wi-Fi 地址功能，该功能可更改设备的 MAC 地址以防止长期跟踪。

对检查员的意义：这项新功能对网络活动跟踪提出了挑战。检查员可能需要采用先进的技术来跟踪使用动态 Wi-Fi 地址的设备。

 日历中的提醒

新功能：现在，用户可以在日历应用中直接创建提醒并与其交互。

对审查人员的意义：日历条目现在可以包含更详细的用户计划或待办事项列表，为时间线分析增加了另一个有用的层面。调查人员应检查日历事件中嵌入的提醒，以确保他们捕获了所有相关信息。

苹果的人工智能及其对调查的意义

macOS 15 还推出了更先进的 AI 功能，这些功能可能成为未来调查的核心：

通话摘要： 现在可以自动汇总已录制的通话。这可以为调查人员提供相关通话的快速概览，而无需仔细查看整个录音，从而节省时间。

Siri 与 ChatGPT 集成：  Siri 利用 ChatGPT 进行复杂查询的新功能增加了新的数据交互层。调查人员可能需要跟踪发送到外部 AI 服务的请求，尤其是在敏感案件中。

Image Playground： 苹果新推出的 AI 驱动图像生成工具可以创建独特的图像。这可能会成为涉及用户生成内容或 AI 生成媒体的案例的关注点。

总结

MacOS 15 (Sequoia) 带来了许多可能影响数字取证的新功能，从更强大的隐私保护到更易于访问的数据共享工具。 密切关注这些变化对于确保您的调查保持彻底和最新至关重要。

RECON ITR 已更新，从第一天起就支持 macOS 15，因此您可以不间断地继续工作。随着新功能的推出，我们还在进行更多更新，确保您的工具针对 Apple 的最新变化进行优化。