Mobile Geräte werden immer leistungsfähiger und vielfältig einsetzbar. Damit wächst auch die Gefahr, dass Smartphones attackiert werden. Natürlich können Smartphone auch für kriminelle Handlungen missbraucht werden. Und manchmal will man auch nur versehentlich gelöschte SMS wieder herstellen. In allen drei Szenarien kommt man mit forensischen Schritten meist sehr weit.
Dank seiner offenen Struktur ist es relativ einfach, in Android-Geräten Spuren nachzuweisen. Selbst gelöscht SMS, Kontakte etc. lassen sich oft rekonstruieren. Je nach dem, welchen Aufwand Sie betreiben, können Sie ganze Nutzungsprofile eines mobilen Gerätes erzeugen. Das Erfreuliche dabei: Schon mit einfachen Werkzeugen wie ADB und dem Root Explorer lassen sich einem Android-Gerät recht interessante Informationen entlocken.
Die Herangehensweise
In der professionellen Computer-Forensik dient der erste Schritt der Analyse eines womöglich kompromittierten Geräts der vollständigen Sicherung der Daten. Dabei erzeugt man in der Regel ein Abbild der gesamten Installation und macht sich dann an die Analyse der Sicherung. Nur so ist sichergestellt, dass an den Ausgangsdaten nicht versehentlich Änderungen vorgenommen werden. Bei der forensischen Analyse eines Android-Gerätes gibt es verschiedene Ansatzpunkte. Die meisten Geräte besitzen eine SD-Karte, auf der sich die relevanten Informationen befinden. Diese Karte sollte aus dem Gerät entfernt, eine 1:1-Kopie angelegt und dann der forensischen Analyse zugeführt werden.
Für die sogenannte logische Analyse gibt es eine kleine App, die Sie in Verbindung mit der Android Debugging Bridge, kurz ADB, für die Beschaffung von relevanten Informationen verwenden können: Android Forensics Logical. Mit diesen beiden Tools können Sie die verschiedensten Informationen aus einem Android-Gerät herauslesen, beispielsweise die Browser-History, das Anrufprotokoll, Kontakte, SMS und die Liste aller installierter Apps samt Programmversion. Die interessantesten Informationen wie Kurznachrichten und Kontakte sind in kommaseparierten Dateien (CSV) hinterlegt und lassen sich oft recht problemlos rekonstruieren.
Optimale Bedingungen
Die hier vorgestellten Tools dienen in erster Linie dazu, auf dem eigenen Smartphone versehentlich gelöschte Daten wie Kontakte oder SMS-Nachrichten wieder herzustellen. Damit die Tools funktionieren, muss das USB-Debugging eingeschaltet sein und Sie müssen Root-Rechte auf dem Smartphone besitzen. Treffen diese Voraussetzungen nicht zu, dann haben Sie (und somit auch ein potentieller Angreifer) höchstens noch Zugriff auf die Daten auf der MicroSD-Karte und auf der SIM-Karte. Liegt Ihnen viel an der Sicherheit Ihrer persönlichen Daten sollten Sie deshalb ein Android-Smartphone ohne MicroSD-Karte benutzen und das Handy via PIN oder Passwort sperren. Damit machen Sie einem Angreifer die forensische Untersuchung schon recht schwierig. Benötigen Sie den zusätzlichen Speicher dennoch, dann sollten Sie die MicroSD-Karte verschlüsseln. Damit wird der Inhalt unlesbar, sobald sich die Karte nicht mehr im Smartphone/Tablet befindet.
Voraussetzung: ADB und Root-Rechte
Die Android Debugging Bridge ist ein unverzichtbares Hilfsmittel für die forensische Analyse von Android-Geräten. Die Bridge ist Bestandteil des Android SDK und ermöglicht den Zugriff von einem Computer aus auf das Android-Gerät. Um das Tool einsetzen zu können, müssen Sie also zunächst das Android-SDK installieren. Sie finden ADB im Ordner platform-tools. Der Aufruf erfolgt nach diesem Schema:
adb parameter
Wenn Sie ADB unter Windows ausführen, sollten Sie es als Administrator starten. Dazu führen Sie die Anwendung mit einem Rechtsklick und Ausführen als Administrator aus. Sollte mit ADB keine Verbindung zu einem Handy hergestellt werden, sollte Sie sicherstellen, dass das USB-Debugging unter Einstellungen | Anwendungen | Entwicklung aktiviert ist. Da Sie bei der forensischen Analyse sehr tief in die Android-Struktur eingreifen, benötigen Sie immer auch Root-Rechte. Damit Sie über ADB auf das Handy zugreifen können, sollten Sie die Root-Abfrage auf dem Handy bestätigen. Stellen Sie außerdem sicher, dass der Bildschirm aktiv ist und Sie sich im Homescreen befinden. Wenn Sie statt des Einsatzes der App Android Forensik Logical die Analyse lieber auf einem PC durchführen wollen, können Sie die relevanten Daten auch auf den PC kopieren. Sie können beispielsweise den Inhalt des Ordners verzeichnis mit folgendem Kommando in den Ordner zielverzeichnis auf einem Windows-System kopieren:
adb pull /sdcard/verzeichnis C:zielverzeichnis
Mit dem Befehl adb ? können Sie alle weiteren verfügbaren Befehle und Parameter abrufen.
Einfach, aber effektiv: Android Forensics Logical
Die Entwickler von viaForensics [1] haben eine kleine App mit der Bezeichnung Android Forensics Logical, kurz AFLogical [2], entwickelt, mit der sich eine Vielzahl an forensischen Aktionen ausführen lassen. Sie können damit insbesondere die verschiedenen CSV-Dateien sichern. Erzeugen Sie dazu auf Ihrem PC ein Verzeichnis beliebiger Bezeichnung. Legen Sie unter Windows beispielsweise das Verzeichnis C:/temp an. Stellen Sie dann die USB-Verbindung zum Android-Gerät her.
Mit folgendem Kommando können Sie Liste der angeschlossenen Geräte ausgeben:
C: emp>adb devices List of devices attached 304D19F07E4F3C8E device
Als Nächstes installieren Sie die Forensik-App. Dazu laden Sie sich das ZIP-Archiv herunter und installieren die Anwendung:
C: emp>adb install AFLogical-OSE_1.5.2.apk 2556 KB/s (28794 bytes in 0.011s) pkg: /data/local/tmp/AFLogical-OSE_1.5.2.apk Success
Führen Sie als Nächstes die App auf dem Smartphone aus und klicken Sie auf Capture. Danach übertragen Sie die relevanten CSV-Dateien auf den Computer:
C:Temp>adb pull /sdcard/forensics c:forensik
Je nach Hersteller und Gerät lautet der Pfad etwas anders. Sie können die Dateien aber auch direkt auf dem Smartphone betrachten, zum Beispiel mit dem Dateimanager ES Datei Explorer. Anhand der Konsolenausgabe können Sie erkennen, dass bei dem Sicherungsvorgang beispielsweise Dateien wie SMS.csv und CallLogCalls.csv gesichert werden. Dabei handelt es sich um die Liste der Kurznachrichten bzw. um das Anrufprotokoll. Auf den Windows-PC können Sie die CSV-Dateien dann mit einem Editor Ihrer Wahl oder einer Tabellenkalkulation sichten.
Tipp
AFLogical lässt sich auch ohne Root-Rechte einsetzen, die App kann dann aber keine gelöschten Daten wiederherstellen. Sie eignet sich hingegen perfekt, um ein schnelles Backup sämtlicher persönlicher Daten zu erstellen.
Preiswert: Forensik mit dem Root Explorer
Wenn Ihnen das Hantieren mit ADB zu umständlich erscheint, können Sie auch eine App wie den Root Explorer [3] für die Untersuchung des Android-Geräts verwenden. Dabei handelt es sich um einen Dateimanager für Root-Benutzer, der den Zugriff auf das gesamte Android-Dateisystem einschließlich der schwer zugänglichen Datenordner erlaubt.
Der Explorer hat eine beeindruckende Funktionsvielfalt zu bieten. Er verfügt beispielsweise über einen SQLite-Datenbank-Viewer, einen Text-Editor, Funktionen für das Erstellen und Extrahieren von Archiv-Dateien, eine Suche, Funktionen für das Änderung der Zugriffsrechte und den Versand von Dateien. Nach der Installation betätigen Sie die Menü-Taste, um einige Grundeinstellungen des Root Explorers vorzunehmen. Die meisten Einstellungen sind zwar weitgehend selbstverklärend, doch längst nicht alle. Sie können beispielsweise der Verzeichnis ändern, in das Archive entpackt werden.
Sollten Sie sich für den Inhalt eines speziellen Verzeichnisses interessieren, können Sie diese als Home-Verzeichnis im Root Explorer anlegen. Dazu verwenden Sie die Einstellungen Startseite. In der Regel interessieren sich Forensiker meist für das Verzeichnis /data/data. Hier werden viele wichtige Anwendungsdaten gespeichert, auch die Kontakte und Kurznachrichten. Wenn Sie sich in einem Verzeichnis befinden, das einen unübersehbaren Datenbestand bietet, kommen Sie mit der Suche schneller ans Ziel. Die Suche öffnen Sie über die Menü-Taste. Wenn Sie beispielsweise nach Kontakte recherchieren wollen, verwenden Sie den Suchbegriff contacts. Anhand des Suchergebnisses können Sie dann erkennen, dass Ihre Kontakte im Verzeichnis com.android.providers.contacts zu finden sind. Dort befindet sich eine SQLite-Datenbank mit der Bezeichnung contacts.db, die vermutlich die gesuchten Kontaktdaten enthält.
Wenn Sie länger auf eine Datei tippen, können Sie über ein Pop-up-Menü weitere Aktionen ausführen, und beispielsweise die Datei umbenennen, kopieren und verschieben sowie einen Blick in die Dateiberechtigungen und erweiterte Dateiinformationen werfen. Eine Vielzahl weiterer Informationen erschließt sich durch Scrollen. Sie können Lesezeichen hinzufügen, Dateien versenden und diese im Texteditor öffnen.
Klicken Sie auf die SQLite-Kontaktdatenbank, öffnet sich der SQLite-Viewer des Root Explorers. In der Datenbank finden Sie verschiedene kontaktrelevante Tabellen, die Sie auch nach gelöschten Einträgen durchforsten können. Mithilfe einer Filterfunktion lässt sich die Tabellenansicht gezielt einschränken. Der Root Explorer erlaubt Ihnen auch die Darstellung von Bildern als Thumbnails und stellt Ihnen eine Funktion für die Analyse von textbasierten Daten wie XML-Dateien zur Verfügung. Mit einem Preis von 2,99 Euro ist das Tool eine unschätzbare Hilfe für den Einstieg in die Android-Forensik und um die Interna eines Android-Geräts kennenzulernen.
Forensik deluxe: Oxygen Forensic Suite
Mit der rasante wachsenden Verbreitung von Smartphones unterschiedlicher Couleur ist eine neue Gattung von Programmen entstanden: Desktop-Programme für die forensische Analyse von Smartphones. Als eine der besten Applikationen dieser Art gilt Oxygen Forensic Suite 2012 [4]. Dabei handelt es sich um eine PC-Anwendung für die forensische Untersuchung von Handys, Smartphones und anderen mobilen Geräten. Die Software unterstützt alle relevanten Protokolle, um den Geräten alle Daten zu entnehmen, die für eine erfolgreiche Analyse erforderlich sind.
Die Handhabung der Oxygen Forensic Suite ist dank verschiedener Assistenten einfach. Sie können nach der Installation einfach mithilfe des sogenannten Connection Wizard die Verbindung zu einem mobilen Gerät herstellen. Als mögliche Verbindungsarten stehen USB-, Bluetooth- und Infrarot-Verbindungen zur Auswahl. Damit die Verbindungsaufnahme per USB möglich ist, muss das USB-Debugging auf Seiten des Smartphones aktiviert sein.
Um die Verbindung zu einem neuen Gerät herzustellen, klicken Sie auf die Schaltfläche Connect new device. Das Auslesen der relevanten Daten ist am einfachsten, wenn Sie den Oxygen Agent auf dem Smartphone installieren und anschließend mit dem Assistenten eine Verbindung zu dem Gerät herstellen. Der Assistent kann in der Regel das angeschlossene Gerät identifizieren. Im Folgeschritt können Sie verschiedenen Eigenschafte wie den Besitzer, die Fallnummer und den Prüfer angeben.
Als Nächstes bestimmen Sie, für welche Daten Sie sich interessieren. Sie können die Datenextraktion auf das Telefonbuch, die Datenstruktur, das Protokoll, den Kalender, Nachrichten und die Extras beschränken. Anschließend starten Sie den Extrahierungsvorgang. Dabei werden die für Sie relevanten Daten auf das lokale System übertragen. Zum Abschluss der Extraktion präsentiert Ihnen der Assistent eine Erfolgsmeldung.
Datenanalyse mit Oxygen Forensic Suite
Hat der Datenextrahierungsassistent seine Arbeit erledigt, können Sie sich an die Analyse der ausgelesene Information machen. Beachten Sie, dass neben der Wahl der zu extrahierenden Bereiche auch das verwendete Smartphone Einfluss auf das Extraktionsergebnis hat. Oxygen Forensic präsentiert Ihnen nach dem Auslesen eine hierarchische Ansicht der Daten. Sie können auf die allgemeinen Geräteinformationen, das Telefonbuch, die Nachrichten, das Ereignisprotokoll und beispielsweise den Datei-Browser zugreifen. Wenn Sie sich für die empfangenen und versendeten Kurznachrichten interessieren, öffnen Sie den in der Geräteübersicht den Bereich Nachrichten. Der verrät Ihnen exakt, wie viele Nachrichten das Gerät versendet und empfangen hat. Das alleine wäre bereits eine interessante Information, aber das Tool verrät Ihnen mit einem Doppelkick auf eine Nachricht auch deren Inhalt. Ähnlich interessant sind die Informationen, die Ihnen das Ereignisprotokoll bietet. Dort finden Sie alle ausgehenden, eingehenden und verpassten Anrufe – und zwar inklusive der Nummer, der Anrufdauer und dem Zeitstempel. Wenn Sie ein intensiv genutztes Smartphone einer forensischen Untersuchung unterziehen, so werden Sie meist mit unüberschaubaren Datenmengen hantieren müssen. Da wird die sprichwörtliche Suche nach der Nadel im Heuhaufen zu einer echten Herausforderung. Innerhalb jedes Abschnitts steht Ihnen eine Such- und Filterfunktion zur Verfügung, mit der Sie gezielt nach Inhalten recherchieren bzw. die Ansicht einschränken.
Eine weitere praktische Funktion: Sie können die extrahierten Informationen über die Exportfunktion in unterschiedliche Zielformate exportieren. Die Suite unterstützt den Export der Daten des aktuellen oder des markierten Geräts sowie spezieller Fälle. In Sachen Exportformate gibt es ebenfalls nichts zu meckern, denn Sie können die Informationen nach PDF, XML, XLS, CSV und HTML umwandeln. Mit einem Klick auf das Print-Symbol geben Sie außerdem einen Gerätebericht mit allen extrahierten Details direkt auf einem angeschlossenen Drucker aus.
Fazit
Egal, ob Sie sich nun an der Datenrettung oder an der Rekonstruktion bzw. dem Nachweis bestimmter Aktionen machen: Inzwischen gibt es für die forensische Untersuchung von mobilen Geräten im Allgemeinen und Android-Geräten im Besonderen eine Vielzahl von interessanten Werkzeugen. Letztlich entscheiden die Dringlichkeit und die Relevanz der Informationen darüber, ob man zu freien oder sehr teuren Lösungen greift.
Weitere Forensik-Spezialisten
Neben der Oxygen Forensic Suite gibt eine beachtliche Zahl weiterer Spezialwerkzeuge für Forensiker. Ihnen allen gemein ist, dass Sie zum Teil beträchtliche Investitionen verlangen. Ein Werkzeug für Profis ist Device Seizure von Paraben [5]. Rund 1800 US Dollar muss man schon investieren, um nicht nur die verwendete Software, sondern auch die Hardware einer forensischen Untersuchung unterziehen zu können. Eine Hardware-Lösung, die die Daten aus über 2000 Mobilgeräten auslesen kann, ist Logicube Forensic Quest [6]. Einfach einzusetzen ist MOBILedit! Forensic [7]. Diese Software-Lösung liest quasi auf Knopfdruck die kritischen Informationen ein und erzeugt mit dem Report Generator die gewünschten Berichte.
