Android

ANDROID
FORENSICS
Introduzione
Obiettivi dell'analisi forense:
• Non modificare i dati presenti
• Acquisizione dei dati sensibili
Android
Sistema operativo Open Source
Basato sul kernel Linux 2.6
Linux vede solo dispositivi a blocchi o a
caratteri
MTD (Memory Technology Device) offre
un’interfaccia tra Linux e le flash
Android Runtime System utilizza la DVM
(Dalvik Virtual Machine) per eseguire le
applicazioni
Durante l’esaminazione ci si occupa delle
Librerie e della SQLite
Sicurezza basata su autorizzazioni e
assegnazione di idenificatori di utente
Le applicazioni non comunicano tra loro
Strategie Forensi su Android
•
•
•
•
•
Analisi SD Card
Acquisizione Logica
Acquisizione Fisica
Analisi Chip-off
Analisi con il CellBrite
Analisi SD Card
Si utilizzano i metodi classici di analisi
forense per drive fisici
Utilizzo di software come AccessData's FTK
Imager
Acquisizione Logica
Tecnica primaria
Consiste nel copiare una piccola
applicazione sul dispositivo, avviarla e
quindi rimuoverla
I dati sono copiati in un'SD Card e scritti in
un file CSV
Può fornire le seguenti informazioni
Cronologia del browser
Registri di chiamata
Metodi di contatto
Metadati sui dati nella memoria esterna
Contenuto multimediale
SMS, MMS
Agenda
Lista delle applicazioni installate
Estensioni dei Contatti
Gruppi dei Contatti
Impostazioni dei Contatti
Acquisizione Fisica
Acquisizione dd image
Richiede privilegi di root
Fornisce un'immagine bit per bit delle
partizioni
Le partizioni utilizzano il File System
YAFFS2
Analisi Chip-off
Consiste in una letterale dissaldatura del
dispositivo
Viene effettuato un processo di reballing
Infine si collega ad un lettore di memorie
chip
C’è il rischio di danneggiare il chip e, di
conseguenza, i dati.
Analisi con il CellBrite
CellBrite Universal Forensics Extraction
Device (UFED)
Dispositivo hardware indipendente
Permette di acquisire i dati fisicamente o
logicamente
Funziona da write blocker
Fine