ANDROID FORENSICS Introduzione Obiettivi dell'analisi forense: • Non modificare i dati presenti • Acquisizione dei dati sensibili Android Sistema operativo Open Source Basato sul kernel Linux 2.6 Linux vede solo dispositivi a blocchi o a caratteri MTD (Memory Technology Device) offre un’interfaccia tra Linux e le flash Android Runtime System utilizza la DVM (Dalvik Virtual Machine) per eseguire le applicazioni Durante l’esaminazione ci si occupa delle Librerie e della SQLite Sicurezza basata su autorizzazioni e assegnazione di idenificatori di utente Le applicazioni non comunicano tra loro Strategie Forensi su Android • • • • • Analisi SD Card Acquisizione Logica Acquisizione Fisica Analisi Chip-off Analisi con il CellBrite Analisi SD Card Si utilizzano i metodi classici di analisi forense per drive fisici Utilizzo di software come AccessData's FTK Imager Acquisizione Logica Tecnica primaria Consiste nel copiare una piccola applicazione sul dispositivo, avviarla e quindi rimuoverla I dati sono copiati in un'SD Card e scritti in un file CSV Può fornire le seguenti informazioni Cronologia del browser Registri di chiamata Metodi di contatto Metadati sui dati nella memoria esterna Contenuto multimediale SMS, MMS Agenda Lista delle applicazioni installate Estensioni dei Contatti Gruppi dei Contatti Impostazioni dei Contatti Acquisizione Fisica Acquisizione dd image Richiede privilegi di root Fornisce un'immagine bit per bit delle partizioni Le partizioni utilizzano il File System YAFFS2 Analisi Chip-off Consiste in una letterale dissaldatura del dispositivo Viene effettuato un processo di reballing Infine si collega ad un lettore di memorie chip C’è il rischio di danneggiare il chip e, di conseguenza, i dati. Analisi con il CellBrite CellBrite Universal Forensics Extraction Device (UFED) Dispositivo hardware indipendente Permette di acquisire i dati fisicamente o logicamente Funziona da write blocker Fine