Mobile Forensics: come investigare sui Dispositivi Mobili (telefoni, tablet, gps e droni)

Copia forense, estrazione dati, analisi e presentazione dei risultati

MODALITÀ DI ACQUISIZIONE TELEFONI, TABLET, NAVIGATORI GPS E DRONI

Nel precedente articolo è stata introdotta la disciplina della Mobile Forensics, descrivendo i principali strumenti disponibili sul mercato siano essi a pagamento che open source, inoltre è stata esposta anche una panoramica sulla sicurezza e l’anti-forensics per questa disciplina.
Esistono diverse alternative su come procedere per acquisire un dispositivo, sia esso un telefono, tablet, navigatore GPS o drone, che variano in complessità, efficacia e dispositivi supportati. 

Modalità Fisica

La modalità di acquisizione fisica permette la copia bit-a-bit di tutte le zone e le partizioni dell’intera memoria, incluso lo spazio non allocato, questa è sicuramente la modalità più avanzata, efficace e valida in ambito giudiziario.
Solitamente si svolge con il dispositivo in modalità “Download” o “Fastboot” per sistemi Android e in modalità DFU per sistemi iOS, proprio per questo motivo è anche possibile bypassare il codice di sblocco del dispositivo se dovesse essere presente. 
Quello che si ottiene eseguendo l’acquisizione in questa modalità è un dump della memoria che andrà poi analizzato con i classici strumenti di analisi Mobile Forensics.

iOS

Tramite la modalità DFU è possibile caricare un software specifico all’avvio del dispositivo che permette di fare la copia bit-a-bit delle partizioni presenti, sia di sistema che di dati utente. In questo modo si raggirano le restrizioni imposte alla partizione di sistema.
Non tutti i dispositivi Apple però supportano questa modalità di acquisizione, ma solamente i meno recenti, tutti quei modelli cioè prima di iPhone 4S.

Android

Le modalità Fastboot, Bootloader o Download dei diversi dispositivi Android vengono solitamente utilizzate dai produttori per eseguire aggiornamenti software, reset o inizializzare i dispositivi appena usciti dal processo di produzione. Entrare in queste modalità permette quindi di avere pieno controllo dello smartphone andando ad acquisire tutta la memoria tramite comandi appositi stabiliti dagli OEM.
Nel caso di apparati Android è possibile eseguire l’acquisizione in modalità fisica anche da telefono acceso usando ADB se quest’ultimo ha i permessi di root, è inoltre possibile acquisire quelle partizioni di sistema che altrimenti sarebbero protette tramite l’esecuzione del comando Linux “dd” (che appunto richiede i privilegi di root) attraverso la Shell del dispositivo nel terminale ADB.
Eseguire la procedura di root potrebbe non essere un’azione così semplice da svolgere su tutti i dispositivi, che nella maggior parte dei casi richiedono lo sblocco del Bootloader e conseguentemente il wipe del device, infatti questa operazione cancella definitivamente le partizioni Data, cache e dalvik cache, pertanto non sarebbe più possibile un recupero dei dati. Fanno eccezione i dispositivi Samsung, per i quali tramite il software Odin è possibile eseguire il root senza sbloccare il Bootloader. Inoltre potrebbe non essere possibile svolgere l’elevazione a privilegi di root durante un procedimento legale.
 
mobile-forensics-investigazioni-vitiello
Figura 1 - Dispositivo LG G2 in modalità “Firmware update” durante acquisizione in modalità fisica utilizzando UFED Touch

Altri dispositivi

Quando è necessario acquisire in modalità fisica un dispositivo con un sistema operativo proprietario o magari un vecchio cellulare che ne è addirittura sprovvisto, le tecniche di acquisizione variano da produttore a produttore e talvolta anche da modello a modello, rendendo più complessa l’acquisizione. 
Ad esempio per i vecchi dispositivi Nokia è possibile utilizzare speciali adattatori GPG da andare a posizionare al posto della batteria, sotto la quale si trovano dei pin di contatto per effettuare test alla scheda elettronica, come è possibile notare dall’immagine sottostante.
 
mobile forensics:investigazioni sui dispositivi mobile
 
Figura 2 - Piedinatura connettore GPG per dispositivo Nokia

..CONTINUA LA LETTURA  NEL PDF


Dott. Ing. Michele Vitiello

Dottore in Ingegneria delle Telecomunicazioni, Perfezionato post Laurea presso l’Università di Milano in Computer Forensics e Investigazioni Digitali, Commissione per l’Ingegneria Forense dell’ Ordine degli Ingegneri della provincia di Brescia, Albo dei Periti del Giudice n° 110 Trib. Brescia, Albo dei CTU n° 844 Trib. Brescia, Consulente della Procura della Repubblica, Ausiliario di Polizia Giudiziaria.
 


Il Magazine

Sfoglia l'ultimo numero della rivista Ingenio

Newsletter Ingeio

Seguici su