10/03/2020
La mobile forensics presenta diverse peculiarità che rendono più complessa l’estrazione e l’analisi dei dati da dispositivi mobili rispetto a quelli provenienti da PC.
Vediamo un po’ più in dettaglio quali sono le cause:
- varietà dell’hardware: Sul mercato è disponibili una varietà enorme di modelli di smartphone provenienti da diversi produttori, che differiscono in termini di dimensioni, hardware, sistemi operativi, funzionalità. Inoltre, la velocità con il quale vengono rilasciati nuovi modelli e di nuove funzionalità rende difficile l’adozione e il consolidamento di tecniche di analisi. Si pensi ad esempio ai nuovi modelli sui quali non è più possibile estrarre la batteria, o alla difficoltà nello stabilire, sui nuovi modelli, se il dispositivo è acceso o spento;
-varietà dei sistemi operativi: Sebbene rispetto a qualche anno fa la situazione sembri essersi stabilizzata, con iOS e Android che coprono buona parte del mercato mondiale, anche all’interno di questi sistemi operativi esiste una grande varietà di versioni, con rilasci molto più frequenti e caratteristiche anche molto diverse tra una versione e l’altra. Se allarghiamo inoltre il campo dagli smartphone e tablet ad altre tipologie di dispositivi sempre più presenti nelle nostre vite (dispositivi indossabili, fotocamere digitali, home assistant ecc.) il discorso si complica ulteriormente;
-funzionalità di sicurezza presenti nei dispositivi mobili: Le versioni più recenti di dispositivi mobili contengono misure di sicurezza che hanno lo scopo di proteggere i dati e la privacy degli utenti. Queste funzionalità possono essere una sfida per chi deve acquisire e analizzare i dati. Si pensi per esempio ai meccanismi di cifratura hardware e software;
-alterazione dei dati: Una delle regole fondamentali della digital forensics è quella secondo la quale i dati presenti nel dispositivo non devono essere alterati dall’analisi. Nel caso dei dispositivi mobili questo è il più delle volte impossibile. Per esempio, se il dispositivo è protetto con un pin o una password, è necessario bypassare questo meccanismo. Inoltre, come vedremo nel corso dell’articolo, molte evidenze possono essere estratte solo nel caso in cui il dispositivo sia “rooted”, e quindi potrebbe essere necessario per l’analista effettuare il rooting, alterando quindi i dati. In realtà questa regola è diventata di difficile applicazione anche nel caso di acquisizione di evidenze volatili da PC, come ad esempio l’acquisizione della memoria.
