Was versteht man unter mobiler Forensik?
Mobile Forensik, eine kurze Einführung sowie reale Fälle
Definition und Bedeutung
Mobile Forensik ist die Wissenschaft der forensischen Untersuchung von Mobilgeräten. Diese Disziplin umfasst die Identifizierung, Extraktion, Analyse und Erhaltung digitaler Beweise, die auf mobilen Geräten wie Smartphones, Tablets, MP3-Playern, intelligenten Uhren und Fitnessarmbändern gespeichert sind. Die Mehrheit dieser Geräte läuft derzeit auf den Betriebssystemen Android und iOS. Da mobile Geräte zunehmend persönliche Daten speichern, enthalten sie oft mehr Informationen über ihre Besitzer als herkömmliche Computer und Laptops.
Arten von forensischen Artefakten
Mobile Geräte enthalten eine Vielzahl von forensischen Artefakten, darunter:
Kontakte (Telefonbuch)
Anrufe (Anrufverlauf)
SMS-Nachrichten
MMC-Nachrichten
Chats (über verschiedene Messaging-Apps)
E-MailsMultimediadateien (Fotos, Videos)
Geolokalisierungsdaten
DokumenteInstallierte
Anwendungen
Malware und andere bösartige Software
Diese Artefakte können wichtige Hinweise liefern, wie z.B. das Vorhandensein von Schadsoftware, unbefugter Zugriff auf das Gerät, sowie kompromittierte oder gesendete Zahlungsdaten.
Merkmal der mobilen Forensik
Die Untersuchung mobiler Geräte wird als eigenständiger Bereich der digitalen Forensik angesehen, da sie einzigartige Herausforderungen und Anforderungen mit sich bringt:
Hardware-Unterschiede: Mobile Geräte haben spezielle Hardware-Lösungen, die sich von denen in herkömmlichen Computern unterscheiden.Betriebssysteme: Die Betriebssysteme von mobilen Geräten (z.B. Android, iOS, Blackberry OS, Windows Mobile) unterscheiden sich erheblich von denjenigen auf Servern, PCs und Laptops.System- und Anwendungssoftware: Mobile Geräte verwenden spezifische System- und Anwendungssoftware, die für die Forensik relevant sind.
Extraktionstypen und Methoden
Erstellen eines Backups eines mobilen Geräts
Diese Methode umfasst die Erstellung eines vollständigen Backups des Geräts, wodurch eine Vielzahl von Artefakten extrahiert werden kann. Es ist möglich, gelöschte Daten wie Kontakte, Anrufe, SMS-Nachrichten, MMC-Nachrichten, Chats, E-Mails (wenn in SQLite-Datenbanken gespeichert), Multimediadateien, Dokumente, Geolokalisierungsdaten und installierte Anwendungen wiederherzustellen. Einschränkungen bestehen jedoch, beispielsweise können E-Mails nicht exportiert werden und Anwendungen können nicht von einem nicht gejailbreakten iPhone extrahiert werden.
Extraktion des Dateisystems des Mobilgeräts
Diese Methode ermöglicht die Extraktion der maximalen Anzahl logischer Artefakte, einschließlich E-Mails und Chats. Gelöschte Dateien können jedoch nicht wiederhergestellt werden. Es ist möglich, gelöschte Dateien wie Kontakte, Anrufe, SMS-Nachrichten, Chats, Multimediadateien, Dokumente, E-Mails, Geolokalisierungsdaten und installierte Anwendungen zu rekonstruieren.
Extraktion des Dateisystems des Mobilgeräts
Diese Methode ermöglicht die Extraktion der maximalen Anzahl logischer Artefakte, einschließlich E-Mails und Chats. Gelöschte Dateien können jedoch nicht wiederhergestellt werden. Es ist möglich, gelöschte Dateien wie Kontakte, Anrufe, SMS-Nachrichten, Chats, Multimediadateien, Dokumente, E-Mails, Geolokalisierungsdaten und installierte Anwendungen zu rekonstruieren.
Mobile forensische Dienstleistungen
Abrufen von Daten von gesperrten Geräten
Eine häufige Anfrage besteht darin, Daten von gesperrten Geräten (gesichert durch Pincode oder grafisches Muster) zu extrahieren. Die Spezialisten des Computerforensik-Labors sind in der Lage, Daten von nahezu jedem Gerät zu extrahieren, auch von verschlüsselten Geräten. Dieser Service ist für alle wichtigen Mobilgeräte mit den Betriebssystemen Android und iOS verfügbar.
Wiederherstellung von Daten von beschädigten Geräten
Das Institut für Computer Forensik kann Daten von nahezu allen beschädigten mobilen Geräten wiederherstellen,
Ausnahmen umfassen:
Geräte mit zerstörten oder fehlenden Speicherchipsi
OS- und Android-Mobilgeräte mit einer beschädigten Elektronikplatine
Einige andere spezielle Smartphone-Modelle
Forensische Analyse eines Mobilgeräts
Die forensische Analyse eines mobilen Geräts zielt darauf ab, möglichst viele Artefakte aus dem Gerät zu extrahieren, abhängig von der angewandten Untersuchungsmethode. Oftmals verfügen Strafverfolgungsbehörden und andere private Labors nicht über die nötige Ausrüstung und das qualifizierte Personal, um die vollständige Informationsextraktion sicherzustellen. Dies kann dazu führen, dass wichtige Informationen über ein Ereignis fehlen und somit falsche Schlussfolgerungen gezogen werden.
Suche nach Malware und Tracking-Software
Wie sind sind in der Lage, Malware und Tracking-Software aufzuspüren, deren Funktionsweise zu bestimmen (welche Informationen das Programm sammelt und wohin es diese überträgt) und den unbefugten Zugriff auf die Daten des Kunden zu dokumentieren. Ein Beispiel hierfür ist ein Banking-Trojaner, der keine Superuser-Rechte auf einem mobilen Gerät benötigt, um effektiv zu arbeiten.
Beispiele für reale Fälle
Überprüfung eines Geschäftspartners
Ein Kunde vermutete, dass sein Geschäftspartner ihm falsche Angaben zu seinem Aufenthaltsort machte. Bei der Untersuchung des Mobilgeräts des Partners entdeckten die Experten eine Fitness-App, die den Standort des Geräts alle zwei Sekunden aufzeichnete. Die Analyse der Bewegungsdaten zeigte keine Diskrepanzen zwischen den Angaben des Partners und den tatsächlichen Daten des Geräts.
Betrug mit Banking-Apps
Mehrere Kunden berichteten von unberechtigten Abbuchungen von ihren Bankkonten. Die Untersuchung ihrer Smartphones enthüllte eine bösartige App, die den Google Pay-Bildschirm ersetzte und eine täuschend echte Oberfläche anzeigte. Nutzer gaben ihre Bankkartendaten in diese Schnittstelle ein, woraufhin die Informationen an die Angreifer übermittelt wurden. Die Apps wiesen ähnliche Funktionalitäten und Programmierstile auf, was zur Identifizierung einer Hackergruppe führte.
Über das Computerforensik-Labor im Institut für Computer Forensik
Unser Computerforensik- Labor bietet eine breite Palette an Dienstleistungen zur Prävention gezielter Angriffe, Reaktion auf Vorfälle unterschiedlicher Komplexität, Erfassung digitaler Beweise und Durchführung forensischer Untersuchungen. Unsere zertifizierten Experten verwenden weltweit anerkannte Technologien und Methoden, um umfassende und präzise Ergebnisse zu liefern.