View
257
Download
5
Category
Preview:
Citation preview
Auditron GmbHHauptstrasse 163186 DüdingenSwitzerland
info@auditron.chwww.auditron.ch Copyright © 2015 – 2017 Auditron GmbH
Mobile (Smartphone) ForensicsDie Goldgrube für Ermittlungen
Meet Swiss Infosec, 26.6.2017Pascal C. Kocher
pascal.kocher@auditron.ch
Copyright © 2009 – 2017 Auditron GmbH
Security-Axiome
3
Jede Software hat mindestens eineCodezeile mit einemProgrammier-Fehler.
Es gibt immer einenBenutzer der auf irgendeinen Blödsinn klickt.
2
1
Copyright © 2009 – 2017 Auditron GmbH
Security-Axiome
4
Jede Software hat mindestens eineCodezeile mit einemProgrammier-Fehler.
Es gibt immer einenBenutzer der auf irgendeinen Blödsinn klickt.
2
1
Copyright © 2009 – 2017 Auditron GmbH
Der Telefon-Teil
6
Kontakte (Namen, Rufnummern, etc)
SMS
getätigte und empfangene Anrufe (inkl. Dauer)
GSM / CDMA / TDMA
Copyright © 2009 – 2017 Auditron GmbH
Der Computer-Teil
7
Internet-Zugang (IP-Stack)
Messaging (WhatsApp, Skype, WeChat, Threema, Signal, ...)
VOIP (Skype, WhatsApp, FB, Signal, ...)Applikationen (Apps)
Betriebssystem
Wifi (802.11)
3G (3GPP) / 4G (ITU)
Bluetooth (ex 802.15.1)
Copyright © 2009 – 2017 Auditron GmbH
Mobile Betriebssysteme
8
Android (Google)
IOS (Apple)
Windows 10 Mobile (Microsoft)Tizen (Linux Foundation)
Blackberry OS (RIM / Blackberry)Windows Mobile (Microsoft)
Symbian (Nokia / ex-Psion)
WebOS (Palm / HP / LG)Palm OS (Palm)
Copyright © 2009 – 2017 Auditron GmbH
Akteure im Forensik-Bereich
9
Strafverfolgungs-BehördenSammlung von Beweisen
AnwaltskanzleienVerteidigung von Klienten
GeheimdiensteInformations-Beschaffung
Industrie-SpionageInformations-Beschaffung
kriminelle OrganisationenInformations-Beschaffung
Incident ResponseMalware-Analysen
Copyright © 2009 – 2017 Auditron GmbH
Inhalte auf Smartphones
10
Datei-SystemInhalte werden in Datenbanken gespeichert (SQLite)• Anrufliste
• Kontakte• SMS
Gelöschte Daten ohne CarvingIn der DB nur als gelöscht markiert
Copyright © 2009 – 2017 Auditron GmbH
Applikation in der Cloud
11
Apps mit LoginSpeicherung von Token (Oauth)
Danach kein Passwort mehr nötig
Zugriff mit Token möglich
Token
Copyright © 2009 – 2017 Auditron GmbH
Wie kommt man an die Inhalte? (1)
12
Der forensische Weg
Logische ExtraktionKopieren der Daten wie im Datei-ManagerGelöschte Daten aus DBs möglichKeine gelöschten Daten aus Slack-Space
Physische ExtraktionPhysische Kopie des Datenträgers
Gelöschte Daten aus Slack-Space möglich
Copyright © 2009 – 2017 Auditron GmbH
Aber? (1)
13
Gesperrte SmartphonesPIN
PasswortFingerabdruck
Verschlüsselte Datenspeicherper Design (bspw. iPhone)durch Benutzer
Copyright © 2009 – 2017 Auditron GmbH
Wie kommt man an die Inhalte? (2)
15
Der Weg der Axiome
Wireless SchnittstellenWLAN (Broadcom, Abhören)Bluetooth (Abhören)Mobile Kommunikation (GSM et. al.)
Physische „Schnittstellen“Benutzer (Axiom #2) (Stagefright)Analog „forensischem Weg“
„USB-Attacke“
Copyright © 2009 – 2017 Auditron GmbH
Mobile (GSM et. al.)
16
ME
BTS
BTS BSC MSC
VLRHLR
SMSC
SS7
vBTS
Downgrade 2G SS7 Angriffe
Geräte-Angriffe
Copyright © 2009 – 2017 Auditron GmbH
Benutzer (Axiom #2)
17
Super App – unbedingt installieren:https://auditron.ch/vpn4.apk
Super Webseite - unbedingt anschauen:https://wirklich-super-webseite.comStageFright
Recommended