12-Smartphone Forensik Hakin9

7/24/2019 12-Smartphone Forensik Hakin9

1/111/201210

INTERNETSICHERHEIT

Der Weg, forensisch korrekt an diese Datenheran zu kommen, unterscheidet sich jedochgrundlegend von der klassischen Festplat-

ten-Forensik. In diesem Artikel, wird das Abenteu-er Smartphone-Forensik genauer unter die Lupe ge-nommen.

Der SmartphoneMarkt boomt. Laut IDC [1] wuchsder weltweite Absatz im 3. Quartal 2011 im Vergleichzum Vorjahr um 42.6%. Insgesamt wurden 118,1 Mil-lionen Smartphones ausgeliefert, im 3. Quartal 2010nur 82,8 Millionen. Bei den Betriebssystemen wird derMarkt derzeit von vier Herstellern dominiert: Google mitAndroid gefolgt von Apple mit iOS, dann Nokias Sym-bian und Research in Motion mit Blackberry OS. No-kia hat darber hinaus krzlich erste Telefone mit demMicrosoft Betriebssystem Windows Phone 7 herausge-bracht, weshalb dieses System wohl in naher Zukunftseine Marktanteile (zu Lasten von Symbian) vergrerndrfte.

Was Smartphones von herkmmlichen Handys un-terscheidet ist ihre groe Funktionalitt. Smartpho-nes sind nicht mehr fr die Telefonie sondern fr eineBreite Nutzung von Anwendungen optimiert. Deut-

lich wird dies durch die Benutzerschnittstelle: siebesteht aus einem hochauflsenden Multitouch-Dis-play mit intuitiver Bedienung. Auf der leistungsfhi-gen Hardware luft ein komplettes Betriebssystem

mit offenen Schnittstellen, die es Benutzern erlaubt,Apps von Drittanbietern zu installieren und nutzen.Netzwerktechnisch bieten Smartphones eine Reihevon Optionen, z.B. WLAN und Bluetooth (fr loka-len, kabellosen Zugriff), GSM, UMTS, HSDPA usw.(fr den mobilen Zugriff unterwegs) und USB (z.B.fr die Synchronisation mit dem PC). Smartphonesverfgen ber eine Reihe von Sensoren, welche Be-wegungen, Lage, Magnetfelder, Licht oder Objek-te in der Nhe erkennen. Ein wichtige Komponenteist dabei der in den meisten Smartphones vorhan-denen GPS-Empfnger, der eine genaue Positions-bestimmung ermglicht, die in Bereichen schlechterSatellitenabdeckung zustzlich durch WLAN- bzw.Mobilfunk-Ortung ergnzt wird. Die Kombination die-ses groen Funktionsumfangs mit preisgnstigenDaten-Flatrates, wie sie heutzutage von dem meis-ten Netzbetreibern angeboten werden, hat zu einerschier unendlichen Anzahl von Smartphone-Apps ge-fhrt. Abgesehen von Programmen, die man von PCsher kennt, wurden hier Anwendungen entwickelt, diespeziellen Fhigkeiten der Telefone optimal ausnut-zen. So nutzen Spiele die Bewegungssensoren und

das Touchscreen von Smartphones aus und ermgli-chen so ein ganz neues Spielgefhl. Navigationssoft-ware, die frher eine spezielle Hardware erforderten,knnen nun einfach entwickelt werden, weil das Tele-

Smartphone-Forensik32 GB an Daten Datenmengen, die Ermittler vor Jahren nur aufPCs vorfanden, passen heute mit dem Smartphone bequem in dieHosentasche. Und die Inhalte sind zum Teil lohnend. Neben Emails undOffice-Dokumenten finden sich Fotos, Filme, Kontakte, Anruflisten,Kurznachrichten und Geodaten: alles potentielle Beweismittel imRahmen einer Untersuchung. Von den Daten der Facebook-App ganzzu schweigen.

IN DIESEM ARTIKEL ERFAHREN SIE welche speziellen Probleme die forensische Untersuchung

von Smartphones mit sich bringt.

Smartphones analysierbar macht und welche Daten man n-

det.

WAS SIE VORHER WISSEN SOLLTEN

das gerichtsverwertbare Sichern von Daten und die Funk-

tionsweise forensischer Tools. Zudem sollten Sie wissen, wie

Sicherheitsmechanismen auf IT-Systemen funktionieren, da

Smartphone-Hersteller den Zugriff auf die Daten bliche-

rweise schtzen.

Marko Schuba, Hans Hfken, Thomas Schaefer


2/11

Smartphone-Forensik

hakin9.org/de 11

Beweismittel verndern. Deshalb mssen beschlag-nahmte, eingeschaltete Gerte funktechnisch isoliertwerden, bis sie in einem abgeschirmten Raum weiteruntersucht werden knnen. Verschiede Hersteller bie-ten dazu Lsungen an, z.B. Beutel aus Metallgewebe.Der resultierende Farradaysche Kfig soll die Funk-signale des Telefons unterbinden. Mit einer zustzli-chen Batterie im Beutel kann sichergestellt werden,dass der Handy-Akku auch einen lngeren Transportbersteht, auch wenn das Handy die Sendeleistunghochschraubt (es versucht ja weiterhin Basisstationenzu erreichen). Krzlich vorgestellte Forschungsergeb-nisse der Purdue University [2] haben jedoch gezeigt,dass diese Lsungen keineswegs so abschirmsichersind, wie angenommen. Es ist deshalb Vorsicht gebo-ten!

Gertevielfalt: Es gibt sehr viele sehr unterschiedli-che Gerte. Und stndig kommen neue hinzu. Ein Bei-spiel: Einer der fhrenden Tool-Hersteller untersttzt

fon seine Position und Bewegungsrichtung kennt undKartenmaterial online verfgbar ist.

Herausforderungender Smartphone-ForensikMit der Flle der Einsatzmglichkeiten steigt auchdie Menge der Informationen, die fr digitale Ermitt-ler von Interesse sein knnten. Lieferten Handys b-licherweise Daten wie Anruflisten, SMS-Nachrichten,Kontakte oder Fotos, ergeben sich bei Smartpho-nes eine Flut an weiteren potentiellen Beweisen. Da-zu gehren insbesondere Geodaten und Daten ver-schiedenster Anwendungen, wie Chat, Emails oderOffice-Dokumente. Die Extraktion und Analyse dieserDaten stellt die Ermittler aber vor eine Reihe von He-rausforderungen.

Isolation des Gerts:Wird ein IT-System beschlag-nahmt, so wird es blicherweise zur Untersuchung inein forensisches Labor transportiert. Bei Computernerfolgt dieser Transport meist in abgeschaltetem Zu-stand. Zur weiteren Analyse wird die Festplatte aus-gebaut, kopiert und forensische Untersuchungen wer-den anschlieend auf dem Duplikat durchgefhrt. BeiMobiltelefonen ergibt sich hier ein Problem: wird dieStromversorgung des Gerts unterbrochen, lsst essich ohne Kenntnis des PINs der passenden SIM-Kar-te nicht mehr starten. Der PIN lsst sich zwar beimNetzwerkbetreiber erfragen, allerdings kostet dies Zeit

und ist auch nur dann ohne weiteres mglich, wennder Betreiber im gleichen Land sitzt wie die Ermittler.Aus diesen Grnden bevorzugen es Ermittler, die Ge-rte in eingeschaltetem Zustand ins Labor zu bringen.Aber auch der eingeschaltete Modus birgt Nachteile.Der schlimmste Fall wre ein Remote Wipe des Ge-rts, bei dem smtliche Daten ber ein Funksignal ge-lscht wrden. Viele Smartphones bieten diese Funk-tionalitt z.B. fr verlorene Telefone an. Aber auchganz normale Funkaktivitten wie Location Updatesoder eingehende Anrufe oder Nachrichten knnen das

Abbildung 1. JTAG-Schnittstelle (Quelle: http://Toc2rta.com) Abbildung 2.Chat-App (Quelle: http://www.whatsapp.com/)


3/111/201212

INTERNETSICHERHEIT

mit seiner letzten Release mehr als 7000 Gertepro-file [3]. Auch wenn dies nicht alles Smartphones sind,zeigt es, auf wie viele unterschiedliche Handy-Typensich Ermittler einstellen mssen. Smartphones unter-scheiden sich z.B. hinsichtlich Hersteller, Plattform,Betriebssystem oder Stecker-Typen. Fr den Ermittlerbedeutet dies, das je nach Smartphone fr die Analyseunterschiedliche Kabel und Extraktionsmethoden an-zuwenden sind. Dass eine Methode bei einem Gertfunktioniert bedeutet dabei nicht, dass sie nach einemFirmware-Upgrade des Telefons immer noch benutztwerden kann.

Datenextraktion: Wie bekommt man die Daten ausdem Speicher des Smartphones heraus? Der Ausbaudes Flashspeichers analog zum Ausbau einer Fest-platte ist mglich, bedeutet aber die Zerstrung des

Telefons und manchmal auch der Daten. Der Grundliegt darin, dass der Chip aus dem Telefon heraus ge-ltet werden muss. Die dabei entstehenden hohenTemperaturen lsen oft nicht nur das Ltzinn, son-dern auch die Daten des Chips auf. Hat der Flash-speicher die Prozedur berstanden, knnen die Datenrecht einfach und komplett vom Chip gelesen werden.Man spricht dabei von einem physikalischen Abbilddes Speichers. Mchte oder kann man den Flashspei-cher nicht auslten, bleibt nur die Mglichkeit ber dieSchnittstellen des Telefons auf die Daten zuzugreifen.Eine Hardware-nahe Mglichkeit ist die JTAG-Schnitt-

stelle, welche bei manchen Platinen existiert und zumTesten und Debuggen der elektronischen Hardwareeingesetzt wird. Leider ist diese Schnittstelle nicht im-mer vorhanden oder dokumentiert, weshalb diese Op-tion manchmal ebenfalls entfllt. Bleibt nur noch derZugriff ber die normalen Schnittstellen des Telefons,

z.B. mittels USB. Hier unterscheidet man zwischender logischen Extraktion (mglichst viele Daten wer-den ber bekannte Schnittstellen wie AT Kommandos,OBEX o.. ausgelesen), der Dateisystem-Extraktion(mehr Daten als bei der logischen Analyse, da ge-samtes Dateisystem ausgelesen wird) bzw. der phy-sikalischen Extraktion (komplettes Speicherabbild)unterschieden. Die physikalische Extraktion liefert dieumfangreichsten Ergebnisse ist aber nicht bei jedemTelefon mglich, da entsprechende Schutzmanah-men des Herstellers umgangen werden mssen, wasman z.B. durch modifizierte Bootloader oder Ausnut-zen von Schwachstellen erreicht.

Datendekodierung: Liegen das Dateisystem oderdas physikalische Speicherabbild vor, so ist der Ermitt-ler noch nicht fertig: die Daten mssen dekodiert wer-

den, bevor Sie berhaupt angesehen werden knnen.Schwierigkeiten ergeben sich hier durch die Vielzahlder meist proprietren und nicht dokumentierten Datei-systeme. Reverse Engineering ist dabei hufig die ein-zige Methode die zum Ziel fhrt.

Verschlsselung: Wie bei der Festplatten-Foren-sik stellt auch bei Smartphones die Verschlsselungder Daten die Ermittler immer hufiger vor Probleme.Beispielsweise wird bei iOS ab Version 4 der Spei-cher komplett verschlsselt (AES 256 Bit), wobei dieVerschlsselung durch den Passcode des Gerts ge-schtzt ist. Ohne Kenntnis des Passcodes ist eine

Analyse der Daten nicht mglich. Zwar existieren frdas iOS erste Anstze, auch auf Passcode-geschtzteDaten zuzugreifen [4], allerdings funktioniert der An-satz nur fr die aus 4 Zahlen bestehenden, einfachenPasscodes.

Apps: Eine weitere Herausforderung der Smartpho-ne-Forensik ist die Vielzahl der Apps. Immer mehr wich-tige Daten werden nicht an den Standardorten, son-

Abbildung 3.Cellebrite UFED (Quelle: ww w.cellebrite.com) Abbildung 4.Micro Systemation XRY (Quelle: www.msab.se)


4/11

Smartphone-Forensik

hakin9.org/de 13

dern den Speicherbereichen der Apps gespeichert. Sowird SMS-Kommunikation seit einiger Zeit zunehmenddurch Chat-Apps oder Apps sozialer Netze ersetzt (wiez.B. WhatsApp im Bild unten). Um Spuren dieser Nach-richten zu finden, mssen die Daten der App gefunden,ausgelesen und dekodiert werden. Ein weiterer, wichti-ger Informationstyp, der von Apps gespeichert wird sindGeodaten. Viele Apps (Wetter, Soziale Netze, Jogging,Navigation etc.) speichern Ortsinformationen ab. Wieknnen diese Geodaten einfach von Ermittlern gefun-den und herausgefiltert werden?

Existierende ToolsEs gibt eine Reihe von Tools, die fr die forensischeAnalyse von Smartphones eingesetzt werden knnen.Hier wird nur kurz und ohne weitere Bewertung ein

berblick ber die bekanntesten kommerziellen Werk-zeuge sowie zwei an deutschen Hochschulen entwi-ckelten Tools gegeben werden. Weiterfhrende Infor-mationen finden sich in den angegebenen Quellen.

ADEL:Der Android Data Extractor Lite (ADEL) wur-de an der Universitt Erlangen-Nrnberg entwickelt undspezialisiert sich auf die Auswertung von SQLite-Daten-banken von Android-Smartphones [5].

AFT: Das Android Forensic Toolkit (AFT) der FH Aa-chen ermglicht das Rooten von Android-Gerten unddie Auswertung von Anwendungsdaten [6]. Fokus istdabei die Analyse und grafische Auswertung von Geo-daten.

Cellebrite UFED: Ein sehr weit verbreitetes Tool, wel-ches laut Herstellerangaben ber 7000 Gerteprofileuntersttzt (logische, Dateisystem- und physikalischeExtraktion), ist UFED des Herstellers Cellebrite [7] (sie-he auch Abbildung 3).

Compelson MOBILedit!: Ebenfalls hufig benutztwird das Werkzeug MOBILedit!. Es untersttzt die Be-

triebssysteme Android, Apple iOS, Blackberry und Win-dows Mobile 6.5 [8].Encase Forensic: Encase ist eines der Spitzenpro-

gramme bei der forensischen Analyse von Computern.

Abbildung 5.Lebenszyklus von WP7-Apps [16]


5/111/201214

INTERNETSICHERHEIT

Inzwischen untersttzt es auch Smartphones verschie-dener Herstelle (Android, Apple, Blackberry, WindowsMobile, Symbian) [9].

Katana Lantern: Lantern ist ausschlielich fr dieiOS-Forensik konzipiert und untersttzt explizit dieneusten Apple-Produkte bzw. Firmware-Versionen. Au-erdem kann das Tool den Passcode eines verschls-selten Devices mit Hilfe des iTunes-Zertifikates zurck-setzen, iTunes-Backups einlesen und RAW-Images voniOS-Devices analysieren [10].

Micro Systemation XRY: hnlich umfangreich wieUFED, untersttzt XRY fast 6000 Gerteprofile von der

logischen bis hin zur physikalischen Daten-Extraktion[11]. Abbildung 4 zeigt das Tool XRY.

Paraben Device Seizure: Das Tool liest die Daten

von ber 4000 Mobiltelefonen, PDAs oder GPS-Ge-rten aus. Die meisten Smartphone-Betriebssystemewerden untersttzt (meist logisch, manchmal auch phy-sikalisch) [12].

Abbildung 6.Sicherheitsmodell WP7

Abbildung 8.Zugriff auf Windows CE 6 Kernel von Benutzer-Appsund Native AppsAbbildung 7.Isolierte Bereich und Zugriffsrechte


6/11

Smartphone-Forensik

hakin9.org/de 15

viaForensics viaExtract:Dieses Werkzeug hat sichauf die logische Analyse von Android-Smartphonesspezialisiert [13].

Fallbeispiel 1: Windows Phone 7Im Folgenden wird anhand eines Fallbeispiels erlutert,wie die Dateisystem-Extraktion bei einem Smartphonedurchgefhrt werden kann. Der Ansatz wurde Anfangdes Jahres an der FH Aachen entwickelt [14] und be-zieht sich auf das neue Microsoft Smartphone-Betriebs-system Windows Phone 7, welches Ende 2010 auf denMarkt kam.

Windows Phone 7 (WP7) basiert auf dem WindowsCE 6 Kernel. Es bietet ein neues Benutzer-Interfacesowie ein Multi-Touchscreen mit virtuellem On-Screen-Keyboard. WP7-Smartphones werden mit vorinstal-

lierten Apps ausgeliefert. Zu diesen gehren norma-lerweiser ein Webbrowser (Internet Explorer Mobile),Email-Clients (ein Outlook Client, der aber auch frHotmail, Yahoo!Mail oder Googlemail benutzt werdenkann), Multimedia-Player (fr Musik, Videos oder Bil-

Abbildung 10.Extrahierte RegistryAbbildung 9.Interface der Una App auf einem WP7-Smartphone


7/111/201216

INTERNETSICHERHEIT

der) sowie einer Office-Suite (welche Interoperabilittmit Microsofts Desktop-Produkten bietet).

Auch WP7 erlaubt die Installation von Apps, dievon Drittanbietern geliefert werden. Zusammen mitMusik und Videos werden solche Apps online imWindows Phone Marketplace angeboten. DieserMarktplatz wird von Microsoft betrieben. Mchte einAnbieter seine App im Marktplatz platzieren, mussdie App zunchst einen Zulassungsprozess durch-laufen, bei dem die App geprft und von Microsoftsigniert wird, bevor sie von Anwendern herunterge-laden werden kann. Um ihre eigene App vor der Ein-reichung zu testen, bieten sich Drittanbietern zweiOptionen [15]. Zunchst einmal gibt es die Mglich-keit, Benutzer-Apps in einer Emulator-Umgebungzu testen, die mit Microsofts Application Develop-

ment Framework ausgeliefert wird. Alternativ kannman sich bei Microsoft registrieren, die App auf demApp Hub von Microsoft publ izieren und dann einenicht-signierte Version der App auf einem bestimm-ten, registrierten Smartphone testen. Abbildung 3zeigt, wie diese zweite Testmglichkeit in den allg-meinen Application Development Lifecycle Processder WP7 Apps integriert ist.

Das Sicherheitsmodell von WP7 folgt dem Prinzip dergeringsten mglichen Rechte (Least Privilege), welchein der Form von sogenannten Kammern (Chambers)realisiert wird [17]. Eine Kammer definiert dabei eine

Menge von Rechten, die einem bestimmten Prozessgewhrt werden. Im WP7-Sicherheitsmodell gibt es vierunterschiedliche Kammern, welche in Abbildung 4 dar-gestellt sind.

Benutzer-Apps laufen in der Least Privileged Cham-ber, d.h. sie haben sehr eingeschrnkte Rechte. Mch-ten Benutzer-Apps Daten persistent vorhalten, knnensie diese in einem isolierten Bereich (Isolated Area)speichern [18]. Jede Benutzer-App generiert und ver-waltet seinen eigenen isolierten Bereich. Zugriff auf denisolierten Bereich anderer Benutzer-Apps ist nicht mg-lich. Das Konzept wird fr drei Benutzer-Apps A, B undC in Abbildung 5 veranschaulicht.

Die Ausfhrungsumgebung von Benutzer-Apps istebenfalls beschrnkt: Jede Benutzer-App luft in ei-ner eigenen Sandbox und kann nicht direkt auf denSpeicherbereich anderer Apps oder interne Teile desBetriebssystems zugreifen. Fr bestimmte Systemfunk-tionen kann dies durch Benutzerfreigabe aufgehobenwerden, z.B. zur Speicherung von Daten in den Kon-takten oder um einen Anruf aus einer App heraus zuttigen.

Apps der Gertehersteller (sogenannte Native Apps)

agieren in der Standard Rights Chamber und habendamit erweiterte Rechte. In Bezug auf Daten-Extrak-tion ist es wichtig festzuhalten, dass Native Apps Zu-gang zum Windows CE 6 Kernel haben, und dadurchAbbildung 11.Laufende Prozesse auf einem WP7-Handy


8/11

Smartphone-Forensik

hakin9.org/de

im Gegensatz zu Benutzer-Apps Daten aus den iso-lierten Bereichen anderer Apps lesen knnen (sieheAbbildung 6).

Diese Eigenschaft macht sich der hier vorgestellte fo-rensische Ansatz zu Nutze. Auf dem Zielgert wird einekleine App installiert, welche Zugriff auf weite Teile desHandy-Speichers hat. Durch die Installation wird zwarein kleiner Bereich des Flashspeichers berschrieben;im Vergleich zur Alternative gar keine Daten zu erhal-

ten ist dies, insbesondere wenn es gut dokumentiertwird, das kleinere bel.

Zunchst muss eine App gebaut werden, die nati-ven Code ausfhren kann. Das Fallbeispiel nutzt da-zu die von Thomas Hounsell vorgestellte Methode,welche auf der DLL Windows.Phone.interopServicebasiert [19]. Diese DLL liefert die Methode "Regis-terComDLL", welche native Hersteller-DLLs importie-ren kann. Verwendet man die Windows.Phone.inter-opService DLL in einer .NET Benutzer-App, wird esmglich, native Code auszufhren und Zugriff auf dasgesamte Dateisystem inklusive isolierter Bereiche zuerhalten.

Als nchstes muss die fertige App auf dem Smart-phone installiert werden. Wie bereits erlutert, erfordertdies im Normalfall die Registrierung des Entwicklersund des Telefons bei Microsoft, eine Prozedur die einErmittler wohl kaum fr jedes zu untersuchende Telefondurchlaufen mchte. Deshalb kommt hier ein kleinesTool zum Einsatz, welches dabei hilft, diesen Prozesszu umgehen. Das Tool nennt sich ChevronWP7, undwurde eigentlich als Jailbreak-Methode fr WP7 entwi-ckelt [20], liefert also die Mglichkeit, Apps, die nicht im

Microsoft Marketplace registriert sind, auf das Gert zuladen.Zur Daten-Extraktion auf dem WP7-Gert wurden

zwei unterschiedliche Apps benutzt. Die App TouchX-

perience stammt aus dem Projekt einer Entwickler-Community [21]. Die andere App, genannt Una, isteine Entwicklung der FH Aachen. Damit die Apps mitihrem Server auf dem PC kommunizieren knnen, er-fordern beide Apps die Microsoft Zune Software [22] aufdem Rechner.

TouchXperience: Die App TouchXperience wird inKombination mit dem Windows Mobile Device Manager(WPDM), einer Management Software fr WP7 gelie-

fert. Die zwei Programme bilden eine Client-Server-Ar-chitektur, wobei der Client (TouchXperience App) Datenwie das Dateisystem vom Smartphone extrahiert, undan den Server WPDM liefert, der sie dann in ein lesba-res, graphisches Format umwandelt. Aus forensischerSicht besonders interessant ist dabei der File Explorer,welcher Lese-, Schreib- und Ausfhrungsrechte fr fastalle Dateien des WP7-Gerts ermglicht. Je nach Her-steller des WP7-Gerts, knnen die von TouchXperi-ence gelieferten Datenmengen unterschiedlich ausse-hen.

Una:Una wurde an der FH Aachen entwickelt. Esbasiert ebenfalls auf einer Client-Server-Architekturund kann Daten aus WP7-Gerten extrahieren, dieTouchXperience nicht liefern kann. Dazu gehren all-

Abbildung 14.Ausgelesene Email

Abbildung 12.Erzeugung einer Kopie von store.vol

Abbildung 13.Dekodieren von SMSs in der Datei store.vol.txt


9/111/201218

INTERNETSICHERHEIT

gemeine Gerteinformationen (z.B. Hersteller oderGerte ID), laufende Prozesse (Prozessname, Pro-zess ID) und die Registry (allgemeine Windows Keyssowie herstellerspezifische Keys). Abbildung 7 zeigteinen Screenshot der Una Client App, die auf einemSmartphone luft.

Mittels der beiden Apps knnen nun verschiedeneSystem- und Anwendungsdaten von WP7-Smartpho-nes gesichert werden. Im Fallbeispiel wurde ein HTCTrophy 7 ausgewertet. Hier lieferte die Methode dasallgemeine Dateisystem, die Registry, aktive Tasks,

Gerteinformationen, sowie anwendungsspezifischeDaten wie SMSs, Emails, Kontakte, Anruflisten, GSM/ WiFi-Daten, Daten der Maps App, des Internet-Ex-plorers oder der Facebook App, private Dokumente,Notes sowie Bilder und Videos. Im Folgenden werdeneinige der Daten vorgestellt.

Dateisystem:Das WP7-Dateisystem gleicht in sei-ner Darstellung einem normalen Desktop-Dateisys-tem, wie man es von Windows XP, Windows Vistaoder Windows 7 her kennt. Es ist aus den blichenVerzeichnissen und Dateien aufgebaut. ber ein Uni-

Abbildung 15.Angesehene Fotos aus den Prolen der Freunde

Abbildung 16.Ausgehende Facebook-Nachricht

Abbildung 17.Link einer mit Internet Explorer angesehenen Webseite

Abbildung 18.Die letzte von Maps gespeicherte Position


10/11

Smartphone-Forensik

hakin9.org/de 19

fied Storage System wird die Komplexitt mehrererPartitionen auf verschiedenen internen und externenSpeichermedien verborgen und nur eine einzelne Ver-zeichnisstruktur ist sichtbar. Aus Sicht eines Ermitt-lers sind die Verzeichnisse Application Data, Appli-cations, My Documents und Windows besondersinteressant. Der Ordner Appliciation Data enthltDaten der auf dem Telefon vorinstallierten Apps, inklu-sive Outlook, Maps und Internet Explorer. Apps, dievom Benutzer installiert wurden, finden sich im Ord-ner Applications. Dort befindet sich auch der isolierteSpeicherbereich der jeweiligen Apps. Das VerzeichnisMy Documents enthlt verschiedene Office-Doku-mente, z.B. Word, Excel oder PowerPoint. Hier findensich auch Konfigurationsdateien sowie Musik- und Vi-deodateien. Im Windows-Ordner liegen die Dateien

des WP7-Betriebssystems.Registry:Die Windows Registry, eine Datenbank inder das Betriebssystem und Anwendungen z.B. Um-gebungsvariablen speichert, existiert auch auf WP7-Smartphones. Abbildung 8 zeigt beispielhaft eine mitUna extrahierte Registry eines WP7-Telefons.

Wie der Screenshot verdeutlich, hnelt die Regist-ry der ganz normalen Windows Desktop Registry. Sie

enthlt umfangreiche Informationen, z.B. ber die An-wendungen die der Benutzer installiert hat und kannmit forensischen Registry-Tools weiter analysiert wer-den.

Active Tasks: Die aktiven Tasks sind die laufendenProzesse auf einem WP7-Smartphone. Anhand derListe der Tasks lsst sich zum Beispiel feststellen, obunbekannte Prozesse auf dem Gert laufen (z.B. Mal-ware). Abbildung 9 zeigt den Screenshot der aktivenTasks, die mittels Una ermittelt wurden.

SMS: WP7 speichert alle eingehenden und ausge-henden Kurznachrichten in der Datei store.vol, wel-che im Verzeichnis \Application Data\Microsoft\Out-look\Stores\DeviceStore liegt. Die Datei kann nichtdirekt kopiert werden, was vermutlich daran liegt, dasssie permanent in Benutzung ist. Benennt man die Da-

tei jedoch um, so erzeugt WP7 automatisch eine Kopieder Datei, welche dann mit einem normalen Text-Editoranalysiert werden kann. Abbildung 10 zeigt die umbe-nannte und kopierte Datei store.vol.txt, Abbildung 11den Inhalt der Datei.

Fr smtliche ein- und ausgehenden SMSs knnendie Telefonnummern und Nachrichteninhalte in derTextdatei gefunden werden. Im vorliegenden Fall wurde

Literatur[1] IDC Press Release, Samsung Takes Top Spot as Smartphone Market Grows 42.6% in the Third Quarter, http://www.idc.com/

getdoc.jsp?containerId=prUS23123911

[2] Eric Katz, Richard Mislan, Marcus Rogers, Results of Field Testing Mobile Phone Shielding Devices, Proceedings of theThird ICST International Conference on Digital Forensics and Cyber Crime, Dublin, Ireland, October 2011

[3] UFED 1.1.8.6 Release Notes, http://cellebrite.com/releases/1186/release-note-1186-november-2011.pdf

[4] ElcomSoft Breaks iPhone iOS4 Encryption, http://www.brightsideofnews.com/news/2011/5/24/elcomsoft-breaks-iphone-ios4-

-encryption.aspx

[5] Felix Freiling, Sven Schmitt, Michael Spreitzenbarth, Forensic Analysis of Smartphones: The Android Data Extractor Lite

(ADEL), Proceedings of the Conference on Digital Forensics, Security and Law, Richmond, Virginia, USA, 2011

[6] Stefan Maus, Hans Hfken, Marko Schuba, Forensic Analysis of Geodata in Android Smartphones, Proceedings of Cyber-forensics 2011, Glasgow, Schottland 2011

http://www.cellebrite.com/

[8] MOBILedit!, http://www.mobiledit.com/

[9] Guidance Software, http://www.guidancesoftware.com/

[10] Katana Forensics, http://katanaforensics.com/

[11] Micro Systemation,http://www.msab.com/

[12] Paraben Coorporation, http://www.paraben.com/index.html[13] viaForensics, http://viaforensics.com/

the Third ICST International Conference on Digital Forensics and Cyber Crime 2011, Dublin, Ireland, October 2011

[15] Microsoft App Hub, how it works create, http://create.msdn.com/en-US/home/about/how_it_works_create, 2011

http://msdn.microsoft.com/de-de/library/ff402531.aspx, 2011

http://go.microsoft.com/fwlink/?LinkId=207799, 2010

http://msdn.microsoft.com/en-us/library/

ff402541%28v=vs.92%29.aspx, 2011

http://thounsell.co.uk/2010/11/

avoiding-reection-adding-the-interopservices-library-to-the-wp7-sdk/,2010 http://www.chevronwp7.

com/post/2057541126/pursuing-the-future-ofhomebrew-on-windows-phone-7, 2010

[22] Microsoft, Getting to know the Zune software, http://www.microsoft.com/windowsphone/en-sg/howto/wp7/start/get-to-

-know-the-zune-software.aspx, 2011


11/11

INTERNETSICHERHEIT

diese Auswertung manuell durchgefhrt, liee sich aberproblemlos automatisieren.

Emails:Der Standard Email-Client von WP7 ist Out-look. Er ermglicht es dem Benutzer seine Emails mitverschiedenen Email-Diensten zu synchronisieren(z.B. Googlemail). Alle Outlookdaten (inklusive derBilder der Kontakte, mit denen gemailt wird) werdenim Verzeichnis \Application Data\Microsoft\Outlook\Stores\DeviceStore\data gespeichert. Das Verzeich-nis enthlt eine Reihe von nummerierten Ordnern,welche unterschiedliche Inhalte speichern: Ordner 3speichert Bilder der Kontakte des Benutzers in Datei-en mit Extension .dat. Durch File Carving, also Ana-lyse der binren Datei-Header zeigt sich, dass es sichdabei eigentlich um JPEG-kodierte Bilder handelt. Eineinfaches Umbenennen von .dat zu .jpg macht die

Bilder sichtbar. Ordner 4 enthlt Emails, die imFall von Googlemail als html-Dateien gespeichertsind. Abbildung 12 zeigt ein Beispiel einer extrahier-ten Email.

Facebook: Hat ein Benutzer eine Facebook-Appauf seinem WP7-Telefon installiert, so knnen auchhier Daten ausgewertet werden. Die App generiert ei-ne Anzahl von Verzeichnissen, z.B. Cache, Historyund IsolatedStore. Die Ordner enthalten allgemeineKonfigurationsdaten der App sowie Unterordner wieImages oder DataCache.%userid%, wobei %use-rid% in diesem Fall mit der Benutzer ID ersetzt wer-

den muss. Letzterer Ordner enthlt alle Daten der Fa-cebook-App in Klartext. Die Ordner sind fr Ermittlerdurchaus interessant, weil sie eine groe Menge anDaten speichern. Die gefundene Datei %userid%.settings enthlt den Profilnamen des Benutzers, ei-nen Link zu seinem Profil sowie das Profilbild. JedesBild, welches der Benutzer mit seiner Facebook-Appangeschaut hat, wird im Ordner Images des Ver-zeichnisses IsolatedStore abgelegt. Das schlietauch Bilder ein, die Freunde ber Ihr Profil verffent-lich, aber als privat gekennzeichnet haben (siehe Ab-bildung 13).

Die Datei DataCache.%userid% enthlt Informatio-nen ber die Homepage des Benutzers inklusive seinerletzten Position (falls die Ortsbestimmung eingeschal-tet war), eingehender und ausgehender Nachrichten(siehe Beispiel in Abbildung 14). Zudem findet sich hiereine Liste der Freunde des Benutzers, mitsamt ihrerGeburtstage, ihrer Benutzer IDs und Links zu ihren Pro-filbildern.

Internet Explorer:Der standardmige Webbrowserauf einem WP7-Smartphone ist der Internet Explorer.Fr einen Ermittler knnten besuchte Webseiten wich-

tig sein. Alle relevanten Daten befinden sich in der DateiTabsStorage.bin im Verzeichnis Application Data\ Mi-crosoft\Internet Explorer. Ein Auszug dieser Datei wirdin Abbildung 15 gezeigt.

Maps: Die Microsoft-App Maps erlaubt es WP7-Benutzern ihre Position zu bestimmen und Routenzu berechnen. Die dazugehrenden Anwendungsda-ten werden im Verzeichnis Application Data\Mapsgespeichert. Die Datei MapsSetData.dat enthlt dieletzte Position des Gerts in Klartext (siehe Abbildung16). Interessanterweise wird die Position als Adressegespeichert, nicht als GPS-Koordinaten. Eigene Testszeigten, dass diese Positionen durchaus akkurat sind,mit einer Abweichung von nicht mehr als zwei Hu-sern.

Ausblick WP7:Auch mit der vorgestellten Analyse-methode unterliegt man den Herausforderungen derSmartphone-Forensik. Das Verfahren wurde Anfang2011 entwickelt. Mittlerweile hat Microsoft zwei neueUpdates fr WP7 verffentlicht (NoDo und Mango/

WP7 Version 7.5), bei denen das Verfahren zunchsteinmal nicht mehr funktioniert. Das liegt zum einenan neuen Sicherheitsmechanismen, die die Ausfh-rung von nativem Code weiter einschrnken, zumanderen an Vernderungen des Prozesses, neueApps auf das Telefon zu laden. Doch die weltweiteCommunity ist schnell. Fr beide sind inzwischenVerfahren entwickelt worden, die die Mechanismenumgehen knnen. Die Integration in das vorliegendeTool ist in Arbeit.

MARKO SCHUBA, HANS HFKEN,THOMAS SCHAEFER

Marko Schuba ist Professor an der FH Aachen.

Davor war er ber zehn Jahre in der Telekom-

munikations-Industrie ttig. Er lehrt und for-

scht in den Bereichen Datennetze und IT-Sicher-

heit sowie - als einer der wenigen Professoren in

Deutschland - im Bereich IT-Forensik. Darber hinaus ist er

geschftsfhrender Gesellschafter der schuba & hfken Gbr.

schuba@fh- aachen.de

Hans Hfken ist Leiter der Rechenzentrale und

wissenschaftlicher Mitarbeiter im Fachbereich

Elektrotechnik und Informationstechnik der FH

Aachen. Er arbeitet auf dem Gebiet IT-Sicherhe-

it und IT-Management und ist verantwortlicher

Trainer der Cisco Academy der FH Aachen und Kursleiter von

Hacking- und IT- Forensikkursen.

[email protected]

Thomas Schaefer ist Student der FH Aachen. Im

Sommer 2011 machte er seinen Bachelor-Ab-

schluss im Bereich Informatik mit dem Thema

Windows Phone 7 aus forensischer Sicht. Mo-

mentan erweitert er dieses Studium, ebenfalls ander FH Aachen, um einen Master-Abschluss im Bereich Infor-

mation System Engineering.

[email protected]