Introducción a la obtención de datos forenses de dispositivos móviles Android

ANDROID Blog

El papel del científico forense digital (DFI) está lleno de oportunidades de aprendizaje continuo, especialmente a medida que la tecnología se expande y se expande en todos los rincones de la comunicación, el entretenimiento y los negocios. Como DFI, nos ocupamos de nuevos ataques de equipos todos los días. Muchos de estos dispositivos, como un teléfono móvil o una tableta, utilizan sistemas operativos comunes que necesitamos conocer. Seguramente el sistema operativo Android predomina en la industria de las tabletas y los teléfonos móviles. Dado el predominio del sistema operativo Android en el mercado de dispositivos móviles, DFI termina en dispositivos Android en muchos estudios. Aunque hay varios modelos para obtener datos de dispositivos Android, este artículo presenta cuatro métodos viables que DFI debe tener en cuenta al recopilar evidencia de dispositivos Android.

Historia del sistema operativo Android

La primera edición comercial de Android fue en septiembre de 2008 con la versión 1.0. Android es un sistema operativo de código abierto y “free-to-use” para dispositivos móviles desarrollado por Google. Es importante destacar que Google y otras compañías de hardware formaron la Open Handset Alliance (OHA) en 2007 para promover y apoyar el crecimiento de Android en el mercado. OHA ahora consta de 84 compañías de hardware, incluidos gigantes como Samsung, HTC y Motorola (por nombrar algunos). Esta alianza fue creada para competir con compañías que tenían sus propias ofertas de mercado, como los dispositivos de la competencia ofrecidos por Apple, Microsoft (Windows Phone 10 – que ahora está muerto en el mercado) y Blackberry (que ha dejado de hacer hardware). Independientemente de si el sistema operativo se pierde o no, DFI necesita saber acerca de las diferentes versiones de la plataforma de varios sistemas operativos, especialmente si el enfoque de su análisis forense está en un área específica, por ejemplo, en dispositivos móviles.

Linux y Android

La iteración actual del sistema operativo Android se basa en Linux. Tenga en cuenta que “basado en Linux” no significa que las aplicaciones ordinarias de Linux siempre funcionen en Android, y viceversa, las aplicaciones de Android que puede disfrutar (o con las que está familiarizado) pueden no funcionar en su escritorio Linux. Sin embargo, Linux no es Android. Para aclarar el asunto, tenga en cuenta que Google eligió el kernel de Linux, que es una parte importante del sistema operativo Linux, para administrar el procesamiento del chipset de hardware, de modo que los desarrolladores de Google no tengan que preocuparse por los detalles de cómo se llevará a cabo el procesamiento en este conjunto de hardware. Esto permite a sus desarrolladores centrarse en la capa más amplia del sistema operativo y las características de la interfaz de usuario del sistema operativo Android.

Alta cuota de mercado

El sistema operativo Android tiene una cuota de mercado significativa en el mercado de dispositivos móviles, principalmente debido a su naturaleza de código abierto. A partir del tercer trimestre de 2016, se entregaron más de 328 millones de dispositivos Android. Y según netwmarketshare.com, el sistema operativo Android tuvo la mayor parte de las instalaciones en 2017, casi el 67%, desde ese momento.

Como DFI, podemos esperar hardware basado en Android durante una investigación típica. Debido al código fuente abierto del sistema operativo Android con diferentes plataformas de hardware de Samsung, Motorola, HTC, etc., la variedad de combinaciones entre el tipo de hardware y la aplicación del sistema operativo presenta un desafío adicional. Tenga en cuenta que Android está actualmente en la versión 7.1.1, pero cada fabricante de teléfonos y proveedor de dispositivos móviles generalmente cambia el sistema operativo para ofertas específicas de hardware y servicio, lo que le da a DFI una capa adicional de complejidad, ya que el enfoque para adquirir datos puede diferir.

Antes de ahondar en los atributos adicionales del sistema operativo Android, que complican el enfoque para la adquisición de datos, echemos un vistazo al concepto de la versión ROM, que se aplica al dispositivo Android. Como resumen, el programa ROM (memoria de sólo lectura) es una programación de bajo nivel que está cerca del nivel principal, y un programa ROM único a menudo se llama firmware. Si crees que una tableta es diferente de un teléfono móvil, la tableta tiene una programación ROM diferente a la de un teléfono móvil, ya que las funciones de hardware entre la tableta y el teléfono móvil son diferentes, incluso si ambos dispositivos de hardware provienen del mismo fabricante de hardware. Complifying los detalles del programa ROM, añadiendo requisitos especiales para los operadores de servicio de caja (Verizon, AT &T, etc.).

Aunque hay similitudes en la obtención de datos de un teléfono móvil, no todos los dispositivos Android son iguales, especialmente dado que hay catorce ediciones principales del sistema operativo Android en el mercado (de las versiones 1.0 a 7.1.1), varios operadores con ROMs basadas en modelos e innumerables ediciones personalizadas adicionales compatibles con el usuario (ROMs de cliente). Las “ediciones compiladas por el cliente” también son ROMs basadas en modelos. En general, las actualizaciones de nivel de ROM aplicadas a cada dispositivo inalámbrico incluyen aplicaciones operativas y de sistema básicas que se ejecutan en un dispositivo de hardware específico, un proveedor específico (por ejemplo, Youmsung S7 de Verizon) y para una aplicación específica.

Aunque no hay una solución mágica para estudiar un dispositivo Android, el examen forense de un dispositivo Android debe seguir el mismo proceso general de recopilación de pruebas, que requiere un proceso estructurado y un enfoque para la investigación, la incautación, el aislamiento, la adquisición, la investigación y el análisis, y la provisión de evidencia digital. Una vez recibida una solicitud de verificación de un dispositivo, el DFI comenzará a planificar y prepararse para incluir el método necesario para adquirir el equipo, la documentación necesaria para apoyar y documentar la cadena de mantenimiento, el desarrollo de un informe de propósito de selección, detalles del modelo de dispositivo (y otros atributos específicos del hardware adquirido) y una lista o descripción de la información que el solicitante desea obtener.

Desafíos únicos de la adquisición

Los dispositivos móviles, incluidos los teléfonos móviles, las tabletas, etc., se enfrentan a desafíos únicos durante la incautación de pruebas. Debido a la duración limitada de la batería en los dispositivos móviles y por lo general no se recomienda insertar el cargador en el dispositivo, la fase de recopilación de pruebas puede ser crítica para adquirir el dispositivo. La combinación de la adquisición adecuada, los datos móviles, la conectividad Wi-Fi y Bluetooth también debe incluirse en el enfoque del investigador en el momento de la adquisición. Android tiene muchas características de seguridad integradas en su teléfono. La función de pantalla de bloqueo se puede establecer en PIN, contraseña, dibujo de patrones, reconocimiento facial, detección de ubicación, reconocimiento de dispositivos de confianza y biometría como huellas dactilares. Se estima que el 70% de los usuarios utilizan ciertos tipos de protección de seguridad en sus teléfonos. Críticamente, hay software que el usuario puede haber descargado, lo que puede darles la capacidad de borrar remotamente el teléfono, lo que dificulta su adquisición.

Durante la incautación del dispositivo móvil, es poco probable que se abra la pantalla. Si el dispositivo no está bloqueado, será más fácil examinar el DFI porque el DFI puede cambiar la configuración del teléfono inmediatamente. Si el acceso a su teléfono móvil está habilitado, deshabilite la pantalla de bloqueo y cambie el tiempo de espera de la pantalla a su valor máximo (que puede ser de hasta 30 minutos para algunos dispositivos). Ten en cuenta que la clave es aislar tu teléfono de cualquier conexión a Internet para evitar el control remoto del dispositivo. Coloca tu teléfono en modo avión. Después de que se coloca en una bolsa estática diseñada para bloquear las señales de radiofrecuencia, conecte una fuente de alimentación externa al teléfono. Si es seguro, debería poder habilitar la depuración de USB más adelante, lo que permite un puente de depuración de Android (ADB) que puede proporcionar una buena captura de datos. Si bien puede ser importante examinar los elementos de RAM en un dispositivo móvil, es poco probable que esto suceda.

Obtener datos de Android

Copiar un disco duro desde una computadora de escritorio o portátil por medios forenses es insignificante en comparación con los métodos de asignación de datos necesarios para obtener datos de un dispositivo móvil. En general, los DFI tienen acceso físico listo a un disco duro sin barreras, lo que le permite crear una copia de hardware o una imagen de flujo de bits de software. Los dispositivos móviles tienen sus datos almacenados en lugares de difícil acceso dentro de su teléfono. Extraer datos a través de un puerto USB puede ser un desafío, pero se puede lograr con cuidado y felicidad en dispositivos Android.

Después de capturar y asegurar su dispositivo Android, es hora de revisar su teléfono. Hay varios métodos de recopilación de datos disponibles para Android, y varían drásticamente. En este artículo se presentan y describen cuatro formas principales de abordar la adquisición de datos. Estos cinco métodos se indican y resumen a continuación:

1. Enviar el dispositivo al fabricante: puede enviar el dispositivo al fabricante para eliminar los datos que cuestan tiempo y dinero adicionales, pero pueden ser necesarios si no tiene un conjunto específico de habilidades o tiempo de aprendizaje para un dispositivo en particular. En particular, como se señaló anteriormente, Android tiene muchas versiones del sistema operativo basadas en el fabricante y la versión ROM, lo que aumenta la complejidad de la adquisición. El fabricante pone este servicio a disposición de las agencias gubernamentales y las agencias de aplicación de la ley para la mayoría de los dispositivos domésticos, por lo que si usted es un contratista independiente, debe consultar con el fabricante o recibir apoyo de la organización con la que trabaja. Además, la opción de investigación del fabricante puede no estar disponible para varios modelos internacionales (como muchos teléfonos chinos sin nombre que proliferan en el mercado, piense en “teléfono desechable”).

2. Adquisición física directa de datos. Una de las reglas de la investigación de DFI es nunca cambiar los datos. Al obtener físicamente datos de un teléfono móvil, se tendrán en cuenta los mismos rigurosos procesos de verificación y documentación para verificar y documentar que el método físico utilizado no altera los datos del dispositivo. Además, cuando el dispositivo está conectado, es necesario ejecutar totales de hash. La adquisición física permite a DFI obtener una p completa del dispositivocable usb y software forense (en este punto debe pensar en escribir bloques para evitar que los datos cambien). Conectarse a un teléfono móvil y tomar una imagen no es tan limpio y claro como extraer datos de un disco duro en una computadora de escritorio. El problema es que dependiendo de la herramienta de adquisición forense de su elección, la marca y el modelo específicos del teléfono, el operador, la versión del sistema operativo Android, la configuración del usuario en el teléfono, el estado raíz del dispositivo, el estado del bloqueo, si se conoce el PIN y si la opción de depuración usb está habilitada en el dispositivo, es posible que no pueda obtener datos del dispositivo bajo investigación. En pocas palabras, la adquisición física entra en el ámbito de “simplemente tratar” de ver lo que se puede, y puede parecer una forma no estructurada para que el tribunal (o la contraparte) recopile datos, lo que puede poner en riesgo la recopilación de datos.

3. Forense de JTAG (cambio en la adquisición física indicado anteriormente). Por definición, JTAG (Joint Test Action Group) es una forma más avanzada de recopilar datos. Éste es esencialmente un método físico que implica el cableado y la conexión del dispositivo para probar los puertos de acceso (TAPS) y usando las instrucciones de proceso para iniciar la transmisión de los datos sin procesar almacenados en la memoria. Los datos sin procesar se extraen directamente del dispositivo conectado mediante un cable JTAG especial. Se considera una adquisición de datos de bajo nivel, ya que no hay conversión ni interpretación, y se asemeja a una bitcopy realizada al obtener evidencia de un disco duro en una computadora de escritorio o portátil. La adquisición de JTAG a menudo se puede realizar para dispositivos bloqueados, dañados e inaccesibles (bloqueados). Dado que se trata de una copia de bajo nivel, si el dispositivo fue cifrado (ya sea por el usuario o por un fabricante específico, como Samsung y algunos dispositivos Nexus), los datos adquiridos todavía deben descifrarse. Sin embargo, dado que Google decidió optar por no cifrar todo el dispositivo con la versión 5.0 del sistema operativo Android, toda la restricción de cifrado del dispositivo se reduce ligeramente, a menos que el usuario haya decidido cifrar su dispositivo. Después de adquirir los datos de JTAG desde un dispositivo Android, los datos adquiridos se pueden verificar y analizar con herramientas como 3zx (enlace: http://z3x-team.com/ ) o Belkasoft (enlace: https://belkasoft.com/ ). Las herramientas de JTAG extraen automáticamente elementos forenses digitales clave, incluidos registros de llamadas, contactos, datos de ubicación, historial de navegación y más.

4. Adquisición de chip-off. Esta técnica de adquisición requiere la eliminación de chips de memoria del dispositivo. Produce volcados binarios sin formato. Una vez más, se considera una adquisición avanzada de bajo nivel, y requiere regar chips de memoria utilizando dispositivos especiales para leer chips y otros chips. Como se indicó anteriormente en JTAG forense, DFI corre el riesgo de tener el contenido del chip cifrado. Sin embargo, si la información no está cifrada, la copia de bits se puede extraer como una imagen sin formato. DFI debe combatir el rewroting, la fragmentación y el cifrado de la dirección de bloque, si la hubiera. Además, varios fabricantes de dispositivos Android, como Samsung, aplican el cifrado que no se puede omitir durante o después de la adquisición del chip, incluso si se conoce el código de acceso correcto. Debido a problemas de acceso con dispositivos cifrados, apagar el chip se limita a dispositivos sin cifrar.

5. Obtención de datos por aire. Todos sabemos que Google ha adquirido la recopilación de datos. Google es conocido por almacenar grandes cantidades de teléfonos móviles, tabletas, computadoras portátiles, computadoras y otros dispositivos de diferentes tipos de sistemas operativos. Si un usuario tiene una cuenta de Google, DFI puede descargar, descargar y analizar toda la información destinada a ese usuario en su cuenta de usuario de Google con el permiso de Google. Esto incluye la descarga de información de la cuenta de Google de un usuario. Actualmente, no hay una copia de seguridad completa en la nube disponible para los usuarios de Android. Los datos que se pueden explorar incluyen Gmail, información de contacto, datos de Google Drive (que pueden ser muy reveladores), pestañas sincronizadas de Chrome, marcadores del navegador, contraseñas, una lista de dispositivos Android registrados (donde puede revisar el historial de ubicaciones de cada dispositivo) y más.

Los cinco métodos mencionados anteriormente no son exhaustivos. A menudo, la recopilación repetitiva de datos en notas: la documentación adecuada y precisa es importante cuando se trabaja con un dispositivo móvil. Además, documentar los procesos y procedimientos utilizados y seguir la cadena de mantenimiento que ha creado garantiza que la evidencia recopilada sea “sólida forensemente”.

conclusión

Como se describe en este artículo, la ciencia forense de los dispositivos móviles, y especialmente el sistema operativo Android, difieren de los procesos forenses digitales tradicionales utilizados en computadoras portátiles y de escritorio. Aunque el PC es fácil de asegurar, el almacenamiento se puede copiar fácilmente y el dispositivo se puede almacenar, los dispositivos móviles y los datos seguros hamolestar puede ser, y a menudo es, problemático. La adquisición de un dispositivo móvil requiere un enfoque estructurado y un enfoque diseñado para adquirir datos. Como se indicó anteriormente, los cinco métodos introducidos permiten a DFI acceder al dispositivo. Sin embargo, hay una serie de métodos adicionales que no se describen en este artículo. Es necesario seguir investigando y utilizar los recursos por parte del DFI.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *