Za potpunu forenzičku analizu Android mobilnih uređaja potrebno je napraviti fizičku akviziciju, odnosno ekstrakciju podataka. Fizička akvizicija koristi napredne metode izdvajanja fizičke bit-po-bit slike flash memorije mobilnog uređaja. Prednost ove tehnike, u odnosu na logičku i datotečnu akviziciju, je što se kopira ne samo dodijeljeni (neizbrisani), nego i ne dodijeljeni prostor memorije tj. uz postojeće podatke kopiraju se i oni izbrisani i odbačeni.

Video: Cellebrite UFED – fizička akvizicija podataka

To znači da jedino ovom metodom možemo oporaviti određeni dio izbrisanih podataka kao što su tekstualne poruke, slike, povijest pretraživanja interneta, zapise telefonskog imenika, itd. Izbrisane podatke je moguće oporaviti samo ako nisu prepisani sa drugim podacima u memoriji uređaja tijekom redovite uporabe.

Današnji mobilni uređaji sa Android OS postaju sve otporniji na fizičku akviziciju, uglavnom zbog korištenja novih sigurnosnih mehanizama poput šifriranja cijelog diska što čini beskorisnim neke, do nedavno, efektivne tehnike kao JTAG i Chip-Off.  Govoreći na međunarodnoj konferenciji šefova policije u u Philadelphiji, ravnatelj FBI-a Christopher Wray je iznio podatak da “u razdoblju od 11 mjeseci 2017. FBI nije uspio izvući podatke iz gotovo 7000 šifriranih  mobitela. Šifriranje uređaja je ogroman problem za  FBI i to  utječe na istrage na svim razinama.”

Navodimo četiri sigurnosna mehanizma na Android uređajima koji fizičku akviziciju mogu učiniti nemogućom:

Zaključani bootloader. Bootloader  je dio koda koji se izvršava prije podizanja operacijskog sustava, i kada je zaključan sprječava učitavanje i izvršenje bilo kojeg koda osim onog koji je potpisao proizvođač uređaja. Većina Android uređaja prodanih u Europi i SAD-u dolaze s tvornički zaključanim bootloaderima.

Ako je bootloader zaključan na uređaju sa Android 6 (Marshmallow) ili novijim, nećemo moći učitati custom recovery ili forenzički boot image kako bi izvršili fizičku akviziciju.

Ako pokušamo otključati bootloader metodom koja je službeno podržana za određeni uređaj (nisu podržani svi uređaji), bootloader (koji zapravo obavlja postupak otključavanja) automatski će izbrisati korisničke kriptografske ključeve i podatke što definitivno nije forenzički prihvatljiva opcija.

Drugim riječima, zaobilaženje zaključanog bootloadera na uređajima sa Androidom 7 i 8 neće biti nimalo jednostavno  jer će Verified Boot  učinkovito blokirati podizanje sustava ako nema pouzdani potpis.

Dopušteno podizanje sustava (Verified Boot) je mehanizam koji kontrolira integritet svakog dijela procesa podizanja sustava, osiguravajući zaštitu u slučaju zaobilaženja zaključanog bootloadera. Verified boot je dio Androida od verzije 4.4 (KitKat), ali tek u verziji 7 ( Nougat) se počeo strogo provoditi.

Zaštita od vraćanja na tvorničke postavke (Factory Reset Protection-FRP) je sigurnosni sustav koji je smišljen kako bi bili sigurni da netko ne može jednostavno izbrisati i tvornički resetirati telefon u slučaju gubitka ili krađe. FRP se automatski aktivira na svim uređajima ako:

– je na uređaju Android 5.1 ili noviji,

– uređaj ima instaliranu Google Play uslugu,

– je na uređaju omogućeno zaključavanje zaslona (PIN, uzorak ili zaporka)

– je korisnik dodao barem jedan Google račun.

Čak i u slučaju da uređaj ima otključan bootloader, aktivirani FRP sprječava napredne forenzičke metode ekstrakcije putem custom recovery datoteka.

Puna enkripcija diska (Full-Disk Encryption-FDE) je posljednja prepreka u pokušaju fizičke akvizicije podataka. Nakon što su korisnički podaci šifrirani, kriptografski ključevi su pohranjeni u zaštićenom području, odvojeno od glavnog memorijskog čipa. Teorijski, dešifriranje je veoma teško ukoliko se ne raspolaže korisničkom zaporkom.

Za neke Samsung modele novije generacije dostupne su tzv. inženjerske boot datoteke koje je razvio i potpisao sam Samsung. Sa njima je moguće rootat  uređaj bez okidanja Samsung Knox-a, zaobići gore navedene zaštite i dobiti neograničen pristup pohrani uređaja.

Video: Rootanje Samsung Galaxy S7 sa Engineering boot datotekom

**********

(1) Oleg Afonin: iOS vs. Android: Physical Data Extraction and Data Protection Compared

(2) Oleg Skulkin & Igor Shorokhov – Physical Imaging Of A Samsung Galaxy S7 Smartphone Running Android 7.0

(3) Encryption Thwarts FBI Attempt To Access 7,000 Mobile Devices , BBC News, 23 October 2017.