Kriminalteknisk datainsamling från Android -mobila enheter

Kriminalteknisk datainsamling från Android -mobila enheter

Den roll som en digital kriminalteknikutredare (DFI) är fylld med kontinuerliga inlärningsmöjligheter, särskilt när tekniken expanderar och sprids till varje hörn av kommunikation, underhållning och affärer. Som DFI hanterar vi en daglig attack av nya enheter. Många av dessa enheter, som mobiltelefonen eller surfplattan, använder vanliga operativsystem som vi måste känna till. Visst, Android OS är dominerande i surfplatta- och mobiltelefonindustrin. Med tanke på övervägande Android OS på marknaden för mobila enheter kommer DFI: er att stöta på Android -enheter under många undersökningar. Även om det finns flera modeller som föreslår metoder för att hämta data från Android -enheter, introducerar den här artikeln fyra livskraftiga metoder som DFI bör överväga när bevisinsamling från Android -enheter.

Lite historia av Android OS

Androids första kommersiella release var i september 2008 med version 1.0. Android är operativsystemet öppen källkod och “gratis att använda” för mobila enheter som utvecklats av Google. Viktigt var att Google och andra hårdvaruföretag tidigt bildade “Open Handset Alliance” (OHA) 2007 för att främja och stödja Android: s tillväxt på marknaden. OHA består nu av 84 hårdvaruföretag inklusive jättar som Samsung, HTC och Motorola (för att nämna några). Denna allians upprättades för att konkurrera med företag som hade sina egna marknadserbjudanden, till exempel konkurrenskraftiga enheter som erbjuds av Apple, Microsoft (Windows Phone 10 – som nu enligt uppgift är död för marknaden) och Blackberry (som har slutat göra hårdvara). Oavsett om ett operativsystem är nedlagt eller inte, måste DFI känna till de olika versionerna av flera operativsystemplattformar, särskilt om deras kriminaltekniska fokus ligger på ett visst område, till exempel mobila enheter.

Linux och Android

Den nuvarande iterationen av Android OS är baserad på Linux. Tänk på att “baserat på Linux” inte betyder att de vanliga Linux -apparna alltid kommer att köras på en Android och tvärtom kommer de Android -appar som du kanske gillar (eller är bekanta med) inte nödvändigtvis att köras på ditt Linux -skrivbord. Men Linux är inte Android. För att förtydliga poängen, observera att Google valde Linux -kärnan, den väsentliga delen av Linux -operativsystemet, för att hantera hårdvaru chipset -bearbetning så att Googles utvecklare inte skulle behöva vara oroliga för detaljerna i hur bearbetning sker på en given uppsättning hårdvara. Detta gör att deras utvecklare kan fokusera på det bredare operativsystemskiktet och användargränssnittsfunktionerna i Android OS.

En stor marknadsandel

Android OS har en betydande marknadsandel på marknaden för mobila enheter, främst på grund av dess öppen källkod. Överskott av 328 miljoner Android -enheter levererades från och med tredje kvartalet 2016. Och enligt netwmarketshare.com hade Android -operativsystemet huvuddelen av installationerna 2017 – nästan 67% – i skrivande stund.

Som en DFI kan vi förvänta oss att stöta på Android-baserad hårdvara under en typisk undersökning. På grund av Android -operativsystemets öppen källkod i kombination med de olika hårdvaruplattformarna från Samsung, Motorola, HTC, etc., utgör en mängd olika kombinationer mellan hårdvarutyp och OS -implementering en ytterligare utmaning. Tänk på att Android för närvarande finns i version 7.1.1, men varje telefontillverkare och leverantör av mobila enheter kommer vanligtvis att modifiera operativsystemet för de specifika hårdvaru- och tjänsteerbjudandena, vilket ger ett ytterligare lager av komplexitet för DFI, eftersom tillvägagångssättet för datainsamling kan variera .

Innan vi gräver djupare i ytterligare attribut för Android OS som komplicerar tillvägagångssättet för datainsamling, låt oss titta på konceptet med en ROM -version som kommer att tillämpas på en Android -enhet. Som en översikt är ett ROM-program (Read Only Memory) en programmering på låg nivå som ligger nära kärnnivån, och det unika ROM-programmet kallas ofta firmware. Om du tänker i termer av en surfplatta i motsats till en mobiltelefon, kommer surfplattan att ha olika ROM -programmering i motsats till en mobiltelefon, eftersom hårdvarufunktioner mellan surfplattan och mobiltelefonen kommer att vara olika, även om båda maskinvaruenheterna är från samma hårdvarutillverkare. Komplicera behovet av fler detaljer i ROM -programmet, lägg till de specifika kraven för mobiloperatörer (Verizon, AT&T, etc.).

Även om det finns gemensamma saker att hämta data från en mobiltelefon, är inte alla Android-enheter lika, särskilt i ljuset av att det finns fjorton stora Android OS-utgåvor på marknaden (från version 1.0 till 7.1.1), flera bärare med modellspecifika ROM-skivor och ytterligare otaliga anpassade användarkompletterade utgåvor (kund-ROM). De ‘kundkompilerade utgåvorna’ är också modellspecifika ROM-skivor. I allmänhet kommer uppdateringarna på ROM-nivå som tillämpas på varje trådlös enhet att innehålla operativ- och systemapplikationer som fungerar för en viss hårdvaruenhet, för en given leverantör (till exempel dina Sams ung S7 från Verizon), och för en viss implementering.

Även om det inte finns någon “silver bullet” -lösning för att utreda någon Android -enhet, ska rättsmedicinsk undersökning av en Android -enhet följa samma allmänna process för insamling av bevis, vilket kräver en strukturerad process och metod som tar upp utredningen, beslag, isolering, förvärv, undersökning och analys och rapportering för eventuella digitala bevis. När en begäran om att undersöka en enhet tas emot, börjar DFI med planering och förberedelse för att inkludera den metod som krävs för att anskaffa enheter, nödvändiga pappersarbete för att stödja och dokumentera vårdnadskedjan, utveckla ett syfte uttalande för undersökningen, detaljeringen av enhetsmodellen (och andra specifika attribut för den förvärvade hårdvaran), och en lista eller beskrivning av den information som begäraren vill skaffa.

Unika förvärvsutmaningar

Mobila enheter, inklusive mobiltelefoner, surfplattor, etc. står inför unika utmaningar under bevisbeslag. Eftersom batterilivslängden är begränsad på mobila enheter och det normalt inte rekommenderas att en laddare sätts in i en enhet, kan isoleringsstadiet av bevisinsamling vara ett kritiskt tillstånd för att skaffa enheten. Förvirrande korrekt förvärv, mobildata, WiFi -anslutning och Bluetooth -anslutning bör också ingå i utredarens fokus under förvärvet. Android har många säkerhetsfunktioner inbyggda i telefonen. Låsskärmsfunktionen kan ställas in som PIN-kod, lösenord, ritmönster, ansiktsigenkänning, platsigenkänning, igenkänning av pålitlig enhet och biometri som fingeravtryck. Uppskattningsvis använder 70% av användarna någon form av säkerhetsskydd på sin telefon. Kritiskt finns det tillgänglig programvara som användaren kan ha laddat ner, vilket kan ge dem möjlighet att fjärradera telefonen, vilket komplicerar förvärvet.

Det är osannolikt att skärmen låses upp under beslagtagandet av den mobila enheten. Om enheten inte är låst blir DFI: s undersökning enklare eftersom DFI: n snabbt kan ändra inställningarna i telefonen. Om åtkomst tillåts till mobiltelefonen, inaktivera låsskärmen och ändra skärmens timeout till dess maximala värde (vilket kan vara upp till 30 minuter för vissa enheter). Tänk på att det är viktigt att isolera telefonen från alla internetanslutningar för att förhindra fjärrensning av enheten. Placera telefonen i flygplansläge. Anslut en extern strömförsörjning till telefonen efter att den har placerats i en statiskt fri väska som är utformad för att blockera radiofrekvenssignaler. När det väl är säkert bör du senare kunna aktivera USB -felsökning, vilket gör det möjligt för Android Debug Bridge (ADB) som kan ge bra datafångst. Även om det kan vara viktigt att undersöka artefakter av RAM på en mobil enhet, är det osannolikt att detta händer.

Skaffa Android -data

Att kopiera en hårddisk från en stationär eller bärbar dator på ett rättsmedicinskt sätt är trivialt jämfört med de dataextraktionsmetoder som behövs för datainsamling av mobila enheter. Generellt har DFI: er direkt fysisk åtkomst till en hårddisk utan hinder, vilket möjliggör att en maskinvarukopia eller mjukvarubitström bild kan skapas. Mobila enheter har sina data lagrade inuti telefonen på svåråtkomliga platser. Extraktion av data via USB -porten kan vara en utmaning, men kan åstadkommas med omsorg och tur på Android -enheter.

När Android -enheten har gripits och är säker är det dags att undersöka telefonen. Det finns flera datainsamlingsmetoder tillgängliga för Android och de skiljer sig drastiskt. Denna artikel introducerar och diskuterar fyra av de primära sätten att närma sig datainsamling. Dessa fem metoder noteras och sammanfattas nedan:

Skicka enheten till tillverkaren:
Du kan skicka enheten till tillverkaren för datautvinning, vilket kommer att kosta extra tid och pengar, men kan vara nödvändigt om du inte har den specifika färdigheten för en viss enhet eller tid att lära dig. I synnerhet, som nämnts tidigare, har Android en uppsjö av OS -versioner baserade på tillverkaren och ROM -versionen, vilket ökar förvärvets komplexitet. Tillverkarens tjänster gör i allmänhet denna tjänst tillgänglig för myndigheter och brottsbekämpning för de flesta hushållsapparater, så om du är en oberoende entreprenör måste du kontakta tillverkaren eller få stöd från organisationen som du arbetar med. Tillverkarens undersökningsalternativ kanske inte är tillgängligt för flera internationella modeller (som de många kinesiska telefoner utan namn som sprider marknaden – tänk på “engångstelefonen”).

Direkt fysisk inhämtning av data.
En av reglerna för en DFI -utredning är att aldrig ändra data. Den fysiska inhämtningen av data från en mobiltelefon måste ta hänsyn till samma strikta processer för att verifiera och dokumentera att den fysiska metoden som används inte kommer att förändra data på enheten. När enheten väl är ansluten är det dessutom nödvändigt att köra hashtotaler. Fysisk förvärv gör det möjligt för DFI att få en fullständig bild av enheten med en USB -sladd och rättsmedicinsk programvara (vid denna tidpunkt bör du tänka på skrivblock för att förhindra att data ändras). Att ansluta till en mobiltelefon och ta en bild är inte lika rent och tydligt som att hämta data från en hårddisk på en stationär dator. Problemet är att beroende på ditt valda kriminaltekniska förvärvsverktyg, telefonens speciella märke och modell, operatören, Android OS -versionen, användarens inställningar på telefonen, enhetens rotstatus, låsstatus, om PIN -koden koden är känd, och om USB -felsökningsalternativet är aktiverat på enheten kanske du inte kan hämta data från den enhet som undersöks. Enkelt uttryckt hamnar fysiskt förvärv i området att “bara försöka” för att se vad du får och kan framstå för domstolen (eller motsatt sida) som ett ostrukturerat sätt att samla in data, vilket kan äventyra datainsamlingen.

JTAG -kriminalteknik (en variation av fysiskt förvärv som noterats ovan).
Som en definition är JTAG (Joint Test Action Group) rättsmedicin ett mer avancerat sätt för datainsamling. Det är i huvudsak en fysisk metod som innefattar kablar och anslutning till Test Access Ports (TAP) på enheten och med hjälp av behandlingsinstruktioner för att åberopa en överföring av rådata lagrade i minnet. Raw data dras direkt från den anslutna enheten med en speciell JTAG -kabel. Detta anses vara datainsamling på låg nivå eftersom det inte finns någon konvertering eller tolkning och liknar en bitkopia som görs när man skaffar bevis från en stationär eller bärbar datorhårddisk. JTAG -förvärv kan ofta göras för låsta, skadade och otillgängliga (låsta) enheter. Eftersom det är en kopia på låg nivå, om enheten var krypterad (antingen av användaren eller av den specifika tillverkaren, till exempel Samsung och vissa Nexus-enheter), måste den förvärvade informationen fortfarande dekrypteras.

Chip-off-förvärv.
Denna förvärvsteknik kräver att minneskretsar tas bort från enheten. Producerar råa binära soptippar. Återigen betraktas detta som ett avancerat förvärv på låg nivå och kommer att kräva avlödning av minneschips med högspecialiserade verktyg för att ta bort chipsen och andra specialiserade enheter för att läsa chipsen. Liksom JTAG -kriminaltekniken ovan, riskerar DFI att chipinnehållet är krypterat. Men om informationen inte är krypterad kan lite kopia extraheras som en rå bild. DFI kommer att behöva kämpa med blockadressändring, fragmentering och, om sådan finns, kryptering. Flera Android-enhetstillverkare, som Samsung, tillämpar också kryptering som inte kan kringgås under eller efter att chip-off-förvärvet har slutförts, även om rätt lösenord är känt. På grund av åtkomstproblem med krypterade enheter är chip off begränsat till okrypterade enheter.

Over-the-air datainsamling.
Vi är alla medvetna om att Google har behärskat datainsamling. Google är känt för att behålla enorma mängder från mobiltelefoner, surfplattor, bärbara datorer, datorer och andra enheter från olika typer av operativsystem. Om användaren har ett Google -konto kan DFI komma åt, ladda ner och analysera all information för den angivna användaren under sitt Google -användarkonto, med rätt tillstånd från Google. Det handlar om att ladda ner information från användarens Google -konto. För närvarande finns det inga fullständiga molnsäkerhetskopior tillgängliga för Android -användare. Data som kan undersökas inkluderar Gmail, kontaktinformation, Google Drive -data (vilket kan vara mycket avslöjande), synkroniserade Chrome -flikar, webbläsarbokmärken, lösenord, en lista över registrerade Android -enheter, (där platshistorik för varje enhet kan granskas), och mycket mer.

De fem metoderna som nämns ovan är inte en omfattande lista. En ofta upprepad anteckning dyker upp om datainsamling – när du arbetar på en mobil enhet är korrekt och korrekt dokumentation avgörande. Vidare kommer dokumentation av de processer och förfaranden som används samt att följa de kedjor av vårdnadsprocesser som du har etablerat säkerställa att insamlade bevis kommer att vara ” rättsmedicinska ”.

Slutsats

Som diskuteras i denna artikel skiljer sig kriminalteknik för mobila enheter, och i synnerhet Android OS, från de traditionella digitala rättsmedicinska processerna som används för bärbara och stationära datorer. Även om persondatorn är lätt att säkra kan lagring enkelt kopieras och enheten kan lagras, säker förvärv av mobila enheter och data kan vara och är ofta problematisk. En strukturerad metod för att förvärva den mobila enheten och en planerad metod för datainsamling är nödvändig.

admin

admin

Leave a Reply

Your email address will not be published. Required fields are marked *