Mobile Spurensuche

Handys, Smartphones, PDAs oder Tablet-PCs sind feste Bestandteile unseres Alltags. Wir organisieren unsere Termine und Kontakte mit ihnen, machen Fotos und Videos, schreiben SMS, MMS und E-Mails und können inzwischen gewaltige Datenmengen auf ihnen speichern, darunter auch sehr persönliche. Dies weckt Begehrlichkeiten aus allen Richtungen und ist auch von datenschutzrechtlicher Relevanz.

Heutzutage benötigt man lediglich die Rechenleistung eines einfachen Arbeitsplatzrechners, um die Verschlüsselung der Mobilnetze zu knacken. Die dafür notwendigen Tools sind für nahezu jedermann im Netz erhältlich. Angreifer können so fast völlig ungehindert sämtliche mobile Kommunikation abhören und Ihnen mit den gewonnenen Informationen erheblichen Schaden zufügen.

Besonders Smartphones sind heute beliebtes Accessoire mit hohem Potential für kriminelle Handlungen. Es ist ein ideales Werkzeug, um Informationen aufzunehmen, sei es für Mobbing, Stalking, Erpressung oder zur Datenspionage usw.

Die darin gespeicherten Informationen sind für forensische Analysen und deren Beweisführungen enorm wichtig. So können mit den sichergestellten GPS Daten mitunter aussagekräftige Persönlichkeits- und Bewegungsprofile erstellt werden. Somit gelangen auch immer mehr Unternehmensdaten ins Visier der Hacker, da diese mobilen Endgeräte mittlerweile zur Grundausstattung eines jeden Mitarbeiters gehören und die Mitarbeiter auch von außen auf zahlreiche Geschäftsprozesse zugreifen können, die Teil interner Netzwerke sind.

Ein weiteres Gefahrenpotenzial besteht im Verlustfall, als auch der Versuch des Ausspähens von Daten. Datenrettung und interne Ermittlungen sind ebenso bedeutsam. Forensische Analysen sind nicht selten von Erfolg gekrönt. Die daraus gewonnenen Resultate bilden somit eine empirische, belastende oder entlastende Grundlage sowohl für die Anklage, als auch für die Verteidigung.

Dabei ist nahe liegend, dass auch mobile Geräte gezielt zur Spionage, wirtschaftskriminellen Handlungen, Erpressungen und allerlei weiteren Straftaten genutzt werden und sei es nur unterstützend. Mit den hierbei verfügbaren Funktionen ist es grundsätzlich möglich, kritische Informationen unauffällig aus Unternehmen, Behörden und Organisationen zu beschaffen.

 

 

Wenn Sie meinen Artikel über mobile Forensik von Apple-Geräten gelesen haben, dann wissen Sie, dass dieselben Methoden in drei Gruppen unterteilt sind: Extraktion auf logischer Ebene, Extraktion auf Dateisystemebene und Extraktion auf physischer Ebene. Und jetzt werden wir jede der Methoden im Detail analysieren.

Abrufen von Daten auf der logischen Ebene

Der einfachste Weg zum logischen Extrahieren ist natürlich das berüchtigte Android Debug Bridge-Backup. Das geht ganz einfach - aktivieren Sie einfach das USB-Debugging in den Geräteeinstellungen, verbinden Sie es mit dem Computer und verwenden Sie den folgenden Befehl:

adb backup -f "F:\forensic_backup.ab" -apk -shared -all

Der erste Schalter, -apk, weist ADB an, APK-Anwendungen zu sichern; die zweite, -shared, ermöglicht es Ihnen, Anwendungsdaten und den Inhalt einer Speicherkarte in die Sicherung aufzunehmen, falls letztere verfügbar ist; die dritte, -all, fügt alle Anwendungen zum Backup hinzu, einschließlich Systemanwendungen, was bei der Untersuchung von Vorfällen im Zusammenhang mit Malware nützlich sein kann. Nur moderne Geräte erlauben längst das alles, in einem solchen Backup gespeichert zu wird . Beispielsweise enthält es keine Liste von Kontakten oder SMS-Nachrichten, außer vielleicht deren Fragmente aus logs.db.

Um die zu umgehen, integrieren forensische Softwareentwickler wie Oxygen Software und Magnet Forensics sogenannte Agent-Anwendungen in ihre Tools, die auf dem Zielgerät installiert werden und es Ihnen ermöglichen, gewünschte Datenbanken zu extrahieren. Beispielsweise enthält mmssms.db, wie Sie vielleicht vermuten, Informationen über gesendete und empfangene SMS und MMS. Wie Sie bereits verstanden haben, verwendet forensische Software häufig dieselbe ADB für die logische Extraktion, und das resultierende Backup wird entpackt und mit Daten angereichert, die von der Agentenanwendung extrahiert wurden. Übrigens, wenn Sie ein solches Backup selbst entpacken möchten, dann geht das dank des Open-Source-Tools adbextractor ganz einfach:

java -jar abe.jar unpack backup.ab backup.tar

java -jar abe.jar entpacke backup.ab backup.tar Als Ergebnis erhalten Sie ein Tar-Archiv mit dem Inhalt Ihres ADB-Backups.

Extrahieren von Daten auf Dateisystemebene

Datenextraktion auf der physikalischen Schicht

Dateisysteme von Android-Geräten

Gelöschte Daten wiederherstellen

Android-Anwendungsanalyse

Fazit