Offshore7 schrieb:Nach jedem vollständigen Booten werden bereits in den ersten Sekunden an die 100 Powerlogs generiert, von denen in dem von dir beschriebenen Szenario jedoch kein einziger persistent gespeichert wird, nicht mal der erste, der eindeutig auf das Neu-Booten hinweist:
Ich akzeptiere ohne Weiteres, dass die ersten 100 Powerlogs nur im RAM liegen und ohne Passcode beim Ausschalten verloren gehen. Meine konkrete Frage lautet: Hinterlässt ein Notruf, der zwei Minuten nach dem Booten über den Sperrbildschirm (also ohne Passcode) abgesetzt wird, einige Powerlogs im NAND-flash? Hast du genau dieses Szenario schon explizit getestet?
Offshore7 schrieb:Die Sicherheitsrichtlinie NSFileProtectionCompleteUntilFirstUserAuthentication kann nicht umgangen werden, weil der Entsperrcode für die Entschlüsselung gebraucht wird. Bedeutet: Kein "initialer" Entsperrcode = keine Powerlogs (exakt das im Test beobachtete Verhalten). U.a. Bootlogs, Baseband-Reports, CallHistory-DB und neue Bilder via Lockscreen (nicht vorhandene) unterliegen einem anderen Sicherheitskontext und brauchen keinen User-Entsperr-Code.
Aber was macht diese Powerlogs aus Sicherheitssicht so besonders im Vergleich zu Bootlogs, Baseband-Reports, Freezelogs usw.? Es handelt sich doch nur um Akkuwerte, Signalstärke-Werte oder App-Nutzungen?
Lass mich erklären, was meine Vermutung ausgelöst hat. Sie begann mit diesem Eintrag in deiner Analyse der Signalstärke:
Offshore7 schrieb am 14.03.2025:1. April 11:05 -82 dBm * * * * * Einschalten des iPhones Boot
Das hat mich wirklich überrascht, denn ich hatte noch nie gelesen, dass Kris am 1. April einen vollständigen Neustart durchführte. Das würde bedeuten, dass sie ihr Telefon zunächst ausschaltete, als sie das Restaurant verließ (wo sie WLAN genutzt hatten). Zu Beginn ihrer Wanderung gegen 11 Uhr schaltete sie es dann wieder ein – daher der Bootvorgang. Ich nehme an, deine Daten stammen direkt aus dem NFI-Bericht und sind tatsächlich korrekt? Falls ja: Ist bekannt, ob auch die SIM-PIN eingegeben wurde?
Unter der Annahme, dass sie tatsächlich neu gebootet hat, und in Bezug auf den von dir entdeckten RAM/NAND-Bug ergibt sich für mich folgendes Szenario:
• 11:05 – Kris startet das iPhone, hauptsächlich um Fotos machen zu können.
• Weder SIM-PIN noch Passcode werden eingegeben.
• Der Akkustand von 51 % stammt aus dem letzten verfügbaren Powerlog kurz vor dem Abschalten rund 20 Minuten zuvor.
• Anschließend gibt es drei Ereignisse, die jeweils sofort einen Powerlog-Eintrag (und andere Logs) dauerhaft speichern (meine Vermutung):
1. Betreten einer Funkloch-Zone;
2. Fotografieren;
3. Absetzen eines Anrufs.
• Zufälligerweise können alle diese Ereignisse ohne Passcode stattfinden.
• Hunderte Powerlogs sammeln sich im RAM, werden jedoch beim Ausschalten gegen 17:52 komplett verworfen.
Wir haben also an diesem Tag mehrere Lücken in den Powerlogs und warum nennt das NFI ausdrücklich nur einen dreistündigen Powerlog-Ausfall zwischen 13:38 und 16:39? Ich sehe zwei mögliche Gründe:
1. Es ist bei weitem der längste Zeitraum ohne irgendein Ereignis, das an diesem Tag einen Powerlog ausgelöst hätte.
2. Es ist genau der Abschnitt von größtem Interesse – nämlich nach Foto 508 und vor dem Notruf 112.
Ein weiteres Indiz, das dieses Szenario stützt: Für das Abschalten um 17:52 werden durch das NFI weder Akkustand noch Signalstärke angegeben. Wären nach dem 112-Anruf erneut hunderte Powerlogs geschrieben worden, hätte das NFI sämtliche genauen Daten (inklusive der Abschaltzeit) vorliegen müssen.
@Doctective Gibt es in den Fallakten irgendwelche Angaben zur Anzahl der Powerlogs nach dem ersten 112-Anruf, oder ist es möglich, dass lediglich die durch diesen Anruf selbst ausgelösten Powerlogs vorliegen und danach keine weiteren?
