Per esplorare la disciplina della mobile forensics, è importante fare riferimento alle sue origini, ovvero la digital forensics.
Questa disciplina si occupa dell’identificazione, preservazione, analisi e studio delle informazioni presenti nei sistemi informatici, con il preciso scopo di individuare prove utili all’investigazione, rispettando in ogni fase la cosiddetta “catena di custodia”.
Con l’aumento del numero di dispositivi digitali utilizzati, come smartphone e tablet, questi ultimi sono diventati parte integrante della vita quotidiana e possono contenere informazioni essenziali per la risoluzione di casi giudiziari.
Da un punto di vista tecnico, apparati come smartphone e tablet funzionano grazie al loro sistema operativo specializzato e ricco di funzionalità. Questo ha portato ad un aumento considerevole delle prove utili per le indagini, spostando l’attenzione sempre più dai computer ai dispositivi mobili e ai servizi cloud associati. Pertanto, sono stati sviluppati nel corso degli anni suite per l’acquisizione e l’analisi dei dati sempre più complete e performanti. Tuttavia, i dispositivi mobili sono anche costantemente migliorati per quanto riguarda la sicurezza e la protezione dei dati, rendendo il lavoro degli esperti di Mobile Forensics sempre più difficile, con sfide a volte insormontabili.
Strumenti di acquisizione utilizzati sino ad oggi
Gli strumenti disponibili per l’estrazione dei dati dai dispositivi mobili sono in continua evoluzione, ma comunque rimangono sempre un passo indietro rispetto agli aggiornamenti rilasciati dai produttori, necessari a garantire protezione e sicurezza agli utenti. Gli sviluppatori di queste tecnologie, impegnati nel reverse engineering, cercano costantemente di individuare vulnerabilità e, una volta estrapolati i dati, devono garantire la corretta interpretazione delle informazioni raccolte, al fine di non vanificare tutto il lavoro pregresso. Esistono diversi strumenti, sia hardware che software, che consentono di svolgere acquisizioni forensi.
Tra questi, alcuni dei più noti e utilizzati includono:
- Cellebrite UFED 4PC – software commerciale a pagamento;
- Oxygen forensic – software commerciale a pagamento;
- XRY Forensics – software commerciale a pagamento;
- Magnet Axiom – software commerciale a pagamento;
- Mobie Edit – software commerciale a pagamento;
- Alternative open source: per i dispositivi Android il software Autopsy e la distribuzione Linux Santoku, per i sistemi iOS è possibile utilizzare le tecniche Zdziarski e il software iPhone Backup Analyzer.
Purtroppo, ad oggi, anche avendo a disposizione tutti questi software elencati, non è possibile effettuare copie forensi complete di alcune tipologie di smartphone, soprattutto quelli più recenti, oppure estrarre informazioni da supporti protetti da codici di blocco, pattern o password di accesso.
Di seguito vengono esposte le tipologie di estrazioni forensi disponibili sino ad oggi:
- La modalità “Fisica” permette di effettuare acquisizioni bit-a-bit, comprendendo quindi lo spazio non allocato. Tale procedura ad oggi non è più applicabile sui nuovi modelli in commercio, in quanto la memoria risulta essere cifrata, quindi i dati eventualmente estrapolati risulterebbero non decodificabili. Di conseguenza, anche tutte le varie tecniche di lettura dei dati direttamente dai chip risulterebbero inutili, quindi anche l’operazione di Chip-off è andata piuttosto in disuso;
- La modalità “File System”, invece, estrae tutti i file presenti nella memoria del dispositivo, inclusi dati di sistema, dati di applicazioni integrate e spazio non assegnato all’interno dei file.
- La modalità “Logica” estrae dal dispositivo esclusivamente i file presenti e condivisi dal sistema operativo, quindi non è possibile ottenere le informazioni da applicazioni terze, come ad esempio WhatsApp o Instagram, e non esegue operazione di recupero dati cancellati.
Il metodo di lavoro per i professionisti nel mondo della Mobile Forensics è quindi piuttosto complesso, ricco di insidie e limitazioni. Ad esempio, dovendo effettuare la copia forense di uno smartphone Apple iPhone 13 sbloccato e aggiornato all’ultima versione, alcuni dei dati presenti e facilmente accessibili dal proprietario non sono estraibili automaticamente utilizzando gli appositi software, come i contenuti delle e-mail o alcune tipologie di applicazioni di messaggistica istantanea.
Investigazioni digitali nel processo: tutti gli aspetti tecnico-giuridici
Nuove frontiere nel campo della Mobile Forensics
Fortunatamente, da qualche mese a questa parte, per la gioia di tutti gli addetti del settore, sono state commercializzate due nuove soluzioni che permettono di effettuare copie forensi più complete di dispositivi mobili di ultima generazione, permettendo anche l’accesso ai dati presenti in dispositivi bloccati, di cui non si conoscono le credenziali.
È stata inoltre introdotta una nuova tipologia di estrazione dati, ovvero la “Full File System”. A differenza della “File System” tradizionale, questa nuova opzione permette di estrarre una maggiore quantità di digital evidence, in quanto vengono concessi al software forense i privilegi di amministratore direttamente attivando l’apposita funzionalità nelle impostazioni, oppure ottenuti sfruttando vulnerabilità individuate dopo una attenta fase di studio.
Cellebrite Premium e Grayshift Graykey sono soluzioni avanzate che permettono un accesso semplice ai contenuti di una vastissima gamma di dispositivi Apple e Android, anche di ultimissima generazione, permettendo di sbloccare, decifrare ed estrapolare dati importanti, compresi quelli non acquisibili con le vecchie modalità precedentemente descritte.
“Per quanto riguarda Apple, è possibile effettuare accesso ai contenuti di smartphone e tablet bloccati negli stati “AFU” o “BFU”:
- “AFU”, acronimo di After First Unlock, è la condizione in cui il dispositivo, dopo essere stato acceso, è stato sbloccato almeno una volta e successivamente ri-bloccato;
- “BFU”, acronimo di Before First Unlock, è la condizione in cui il dispositivo, dopo essere stato acceso, non è mai stato sbloccato dall’utente.”
Una volta verificata la condizione del supporto oggetto di analisi, i software sfrutteranno le vulnerabilità ed inizieranno l’attacco a forza bruta, bombardandolo al fine di individuare il codice di sblocco, senza il pericolo che quest’ultimo possa essere disabilitato.
Anche per i supporti Android c’è la possibilità di effettuare attacchi a forza bruta da numerosissimi modelli di smartphone in stato “AFU” o “BFU”, come ad esempio Samsung, Huawei, LG, Motorola, Oppo, Xiaomi e molti altri, permettendo sempre di estrapolare una mole di dati maggiore rispetto alle acquisizioni precedenti.
Ad esempio, sia per Apple che Android, emergono log relativi al tempo di utilizzo dei vari servizi e software, informazioni più dettagliate relative alla salute (passi percorsi, calorie bruciate, battito cardiaco, ecc.), oltre ovviamente all’estrazione più completa dalle restanti applicazioni di sistema e terze parti, recuperando ove possibile anche dati cancellati.
Di seguito vengono proposte immagini scattate durante operazioni di attacco a forza bruta effettuati su smartphone Apple e Motorola:
Ovviamente, per gli utilizzatori finali non è possibile conoscere modalità e tecniche utilizzate per sviluppare questi prodotti, in quanto le software house mantengono al sicuro le loro tecniche, frutto di ricerche molto avanzate e complesse. Presso lo studio dello scrivente sono in fase di test entrambe le tecnologie, ogni giorno vengono effettuate svariate copie forensi per casi giudiziari e privati, dalle quali è possibile iniziare a comprendere i punti di forza delle due soluzioni utilizzate, le quali sono in continuo aggiornamento per offrire soluzioni sempre più efficienti e performanti.
