Was ist unter mobiler Forensik zu verstehen?
Mobile Forensik ist die Wissenschaft der forensischen Untersuchung von Mobilgeräten.
Die meisten Mitmenschen benutzen in ihrem Alltag mobile Geräte. Dazu gehören Mobiltelefone, Smartphones, Tablets, MP3-Player, intelligente Uhren, Fitnessarmbänder usw. Derzeit läuft die große Mehrheit der mobilen Geräte mit den Betriebssystemen Android und iOS. Mobile Geräte enthalten mehr persönliche Daten und andere Informationen über ihre Besitzer als Computer und Laptops. Sie enthalten die folgenden Hauptarten forensischer Artefakte: Kontakte (Telefonbuch), Anrufe, SMS-Nachrichten, MMC-Nachrichten, Chats, E-Mails, Multimediadateien (Grafiken, Videos), Geolokalisierungsdaten, Dokumente, installierte Anwendungen, Malware und andere Artefakte, die darauf hinweisen:
Vorhandensein von Schadsoftware auf dem mobilen Gerät
Durchführung eines unbefugten Zugriffs auf das mobile Gerät
Versenden von Zahlungsaufträgen von diesem Gerät aus, Datenkompromittierung usw.
- In der digitalen Forensik wird die Untersuchung mobiler Geräte aus folgenden Gründen als eigener Bereich herausgehoben:
Diese Geräte haben ihre eigenen Hardware-Lösungen, die sich von denen der Computer unterscheiden.
Mobile Geräte haben ihre eigenen Betriebssysteme (Android, iOS, Blackberry OS, Windows Mobile), die sich von denen auf Servern, PCs und Laptops unterscheiden.
Mobile Geräte haben ihre eigene System- und Anwendungssoftware.
Extraktionstypen
Erstellen eines Backups eines mobilen Geräts:
Neben den Hauptarten von Artefakten werden weitere Artefakte extrahiert, die für ein bestimmtes Gerätemodell spezifiziert sind. Das Extrahieren einiger Daten ist nur möglich, wenn die Betriebssysteme entsprechend konfiguriert sind. Auf dem iPhone können Sie beispielsweise E-Mails auf dem Gerät anzeigen, aber sie können nicht exportiert werden. Es ist auch nicht möglich, Anwendungen von einem iPhone zu extrahieren, das nicht gejailbroken wurde, was es schwierig macht, Malware auf solchen Geräten zu identifizieren. Es ist möglich, gelöschte Daten wiederherzustellen: Kontakte, Anrufe, SMS-Nachrichten, MMC-Nachrichten, Chats, E-Mails (wenn die E-Mails in einer SQLite-Datenbank gespeichert sind), Multimediadateien (Grafiken, Videos), Dokumente,
Extraktion des Dateisystems des Mobilgeräts:
Extrahiert die maximale Anzahl logischer Artefakte (einschließlich E-Mails, Chats usw.). Wie bei den logischen Extraktionsmethoden und den Backups von Mobilgeräten können Sie mit dieser Methode keine gelöschten Dateien wiederherstellen. Es ist möglich, gelöschte Dateien wiederherzustellen: Kontakte, Anrufe, SMS-Nachrichten, Chats, Multimediadateien (Grafiken, Videos), Dokumente, E-Mails, Geolokalisierungsdaten, installierte Anwendungen.
Extrahieren eines physischen Speicherauszugs des Geräts:
Bei dieser Methode wird eine vollständige Kopie des physischen Speichers des Geräts erstellt, aus der sich ein Maximum an verschiedenen Artefakten sowie gelöschte Dateien wiederherstellen lassen. Es ist möglich, gelöschte Dateien wiederherzustellen: Kontakte, Anrufe, SMS-Nachrichten, MMC-Nachrichten, Chats, Multimediadateien (Grafiken, Videos), Dokumente (auch gelöschte), E-Mails, Geolokalisierungsdaten, installierte Anwendungen. Diese Methode ist jedoch bei den Spitzenmodellen von Android-Geräten (ab Android 6) und iOS-Geräten (ab Versionen über 9.3.5) nicht anwendbar. Diese Geräte verwenden eine zusätzliche Maßnahme zum Schutz der persönlichen Daten des Gerätebesitzers – die Verschlüsselung, die es unmöglich macht, gelöschte Dateien wiederherzustellen und die Datenwiederherstellung von solchen Geräten erheblich erschwert. Aber auch in diesem Fall ist es möglich, festzustellen, welche Daten sich auf dem Gerät befanden. Im Falle von gelöschten Grafik- und Videodateien können wir beispielsweise die gelöschten Dateien nicht wiederherstellen, aber wir können Miniaturansichten solcher Dateien aus dem Gerätespeicher abrufen und beurteilen, welche Bilder sie enthielten.
Mobile forensische Dienstleistungen
Abrufen von Daten von gesperrten Geräten
Eine recht häufige Kundenanfrage ist die Extraktion von Daten aus einem gesperrten Gerät (durch Pincode oder grafisches Muster). Die Spezialisten des Computerforensik-Labors von Group-IB können Daten von praktisch jedem Gerät extrahieren, auch von verschlüsselten Geräten. Dieser Service ist auch für die wichtigsten Mobilgeräte mit den Betriebssystemen Android und iOS verfügbar.
Wiederherstellung von Daten von beschädigten Geräten
Die Mitarbeiter des Instituts für Computer Forensik können Daten von fast allen beschädigten mobilen Geräten wiederherstellen. Ausnahmen sind:
Geräte mit zerstörten oder fehlenden Speicherchipsi
OS- und Android-Mobilgeräte mit einer beschädigten Elektronikplatine
Einige andere Smartphone-Modelle
Forensische Analyse eines Mobilgeräts
Die forensische Analyse eines mobilen Geräts ermöglicht die Extraktion möglichst vieler Artefakte aus dem Gerät (je nach der angewandten Untersuchungsmethode). Häufig verfügen Strafverfolgungsbehörden und andere private Labors nicht über ausreichende Ausrüstung und qualifiziertes Personal, um die Vollständigkeit der Informationsextraktion aus einem mobilen Gerät zu gewährleisten. Dies führt dazu, dass der Kunde (oder die Strafverfolgungsbehörden) nicht über vollständige Informationen über das Ereignis verfügt und folglich eine falsche Vorstellung über die Ursachen hat, die zu diesem Ereignis geführt haben.
Suche nach Malware und Tracking-Software
Die Spezialisten des forensischen Labors des Institut für Computer Forensik sind in der Lage, solche Programme aufzuspüren, ihre Funktionsweise zu bestimmen (welche Informationen das Programm auf dem Gerät sammelt und wohin es sie überträgt) und die Tatsache des unbefugten Zugriffs auf die Daten des Kunden aufzuzeichnen. Malware (z. B. ein Banking-Trojaner) muss keine Superuser-Rechte auf einem mobilen Gerät erhalten, um zu funktionieren.
Beispiele für reale Fälle
Überprüfung eines GeschäftspartnersEiner unserer Kunden vermutete, dass ein Geschäftspartner ihm vorgaukelte, wo er sich zu bestimmten Zeiten aufhielt. Bei der Untersuchung des Mobilgeräts des Partners entdeckten unsere Experten eine Fitness-App, die den Standort des Geräts alle zwei Sekunden aufzeichnete. Bei der Analyse der Bewegung des Geräts wurden keine Diskrepanzen zwischen den Messwerten des Partners und den Daten seines Geräts festgestellt.
Betrug mit Banking-Apps
Wir wurden von mehreren Bürgern kontaktiert, die unberechtigte Abbuchungen von ihren Bankkonten hatten. Bei der Untersuchung ihrer Smartphones wurde eine bösartige mobile Anwendung entdeckt, die den Google Pay-Bildschirm ersetzte und eine ähnliche Google Pay-Oberfläche auf dem Display des Geräts anzeigte. Der Besitzer des Geräts gab seine Bankkartendaten (Kartennummer, Karteninhaberdaten, Ablaufdatum, CVV-Code) in die entsprechenden Felder dieser Schnittstelle ein, woraufhin diese Informationen an den Server des Angreifers übermittelt wurden. Alle Programme hatten eine ähnliche Funktionalität und einen ähnlichen Programmierstil. Im Zuge der Ermittlungen wurden die Hacker identifiziert.
Über das Computerforensik-Labor im Institut für Computer Forensik
Unser Computerforensiklabor bietet ein umfassendes Angebot an Dienstleistungen zur Verhinderung gezielter Angriffe, zur Reaktion auf Vorfälle unterschiedlicher Komplexität, zur Erfassung digitaler Beweise und zur forensischen Untersuchung unter Einsatz der Kompetenzen zertifizierter Experten und der eigenen, weltweit anerkannten Technologien.