U digitalnom dobu, aplikacije za trenutačnu razmjenu poruka kao što su WhatsApp Messenger, Viber, Instagram, Facebook Messenger i Snapchat, standardni su dio svakodnevice i nude razne mogućnosti zaštićene komunikacije. Opširno korištenje takvih aplikacija stvara mogućnosti zlouporabe od strane kriminalaca i zadaje zadatak računalnim forenzičarima koji će analizirati sadržaj tih aplikacija.

Ovaj seminar bavi se artefaktima koje na operacijskim sustavima Android, Windows i Linux ostavlja aplikacija Viber. U radu se prikazuje gdje se nalaze podatci koje aplikacije pohranjuje na svakom od navedenih operacijskih sustava, kako se ti podatci mogu dohvatiti te koji je njihov sadržaj. Analiza se koncentrira na strukturu podataka, s naglaskom na elemente koji mogu pridonijeti forenzičkoj analizi. Korišteni su besplatno dostupni alati koji mogu olakšati dohvat i analizu podataka. Rad se osvrće na prepreke tijekom analize poput enkripcije podataka i nedostatka besplatnih alata.

Ključne riječi: forenzička analiza, Viber, Android, Linux, Windows

U današnjem modernom vremenu koje je obilježeno pametnim telefonima i društvenim mrežama na koje se milijarde ljudi oslanjaju za komunikaciju s drugim ljudima, došlo je do razvoja nekoliko različitih aplikacija za trenutačnu razmjenu poruka. Najpopularnije od tih aplikacija su: Viber, Facebook Messenger, Instagram, Snapchat, WhatsApp Messenger itd. Aplikacije za trenutačnu razmjenu poruka omogućuju razmjenu tekstualnih i glasovnih poruka, video i glasovne pozive, razmjenu različitih datoteka: dokumenata, slika, videa… Danas sve te aplikacije omogućuju šifriranje komunikacije s kraja na kraj (eng. end-to-end encryption), što znači da samo pošiljatelj i primatelj poruke mogu vidjeti tu istu poruku. Sva navedena svojstva aplikacija pogodna su i kriminalcima koji mogu komunicirati, a da se njihova komunikacija presretne, što dovodi do toga da je forenzička analiza takvih aplikacija vrlo važna za kriminalističko istraživanje.

Viber je popularna aplikacija za trenutačnu razmjenu poruka i prijenos govora protokolom IP koja omogućuje korisnica slanje poruka, uspostavljanje poziva i dijeljenje datoteka. Proizvela ju je japanska multinacionalna kompanija Rakuten 2010. godine i dostupna je za Android, iOS, Windows, macOS i Linux platforme. Viber omogućuje šifriranje komunikacije s kraja na kraj. Korisnici se registriraju putem svojim telefonskim brojeva i imaju mogućnosti komunikacije jedni s drugima ili u grupama. Prema statistici Finances Online, Viber ima preko milijardu registriranih korisnika i 260 milijuna aktivnih korisnika.

Postoje podatci koji su vidljivi bez posebnih alata ili rootanja telefona, a oni se nalaze u ~/Andrioid/data/com.viber.voip direktoriju. Tom direktoriju više se ne može pristupiti preko ugrađene aplikacije za pristup direktorijima već je potrebno instalirati aplikaciju s Google Playa ili povezati mobitel s računalom pa onda pregledati podatke. U tom direktoriju nalaze se dva poddirektorija cache i files.

                       Slika 1: Sadržaj na Androidu

U files nalazi se 21 direktorij i neki od njih su:

• User photos – sadržava slike profila kontakata,
• .backgrounds - sadržava slike pozadina razgovora,
• .emoticons - sadržava sve emotikone koji se mogu koristiti i
• .logs - bilježenje informacija korištenja aplikacije.

Da bi se dobio pristup porukama potrebno je dobiti pristup /data/data/com.viber.voip direktoriju u kojemu se nalaze baze podataka. To se jedino može uz pomoć rootanja telefona te prebacivanja i ručnog analiziranja podataka ili koristeći neki od komercijalnih alata, ali i dalje uz uvjet da se mobitel roota.

Važno je napomenuti da rootanje mobitela krši licencu i uzrokuje gubitak garancije.

U root direktoriju najzanimljivija je datoteka viber_messages.db. To je SQLite baza podataka u kojoj se nalaze 24 tablice. Dvije tablice koje mogu forenzičaru dati kvalitetne informacije su messages, koja sprema podatke o poruci i participants_info, koja sprema podatke o kontaktu.

Neki od stupaca koje sadrži messages tablica:

• body - sadržaj poruke,
• msg_date - datum i vrijeme slanja poruke,
• send_type - smjer poruke,
• unread - status slanja poruke,
• status - status čitanja poruke,
• read_message_time - vrijeme čitanja poruke primatelja,
• msg_info - metadpodatci o multimedijskom zapisu i
• extra_uri - putanja lokacije multimedijskog zapisa u datotečnom sustavu.

Neki od stupaca koje sadrži participants_info tablica:

• number - broj telefona kontakta,
• display.name - ime kontakta.[4]

Svi podatci nalaze se u ~/.ViberPC direktoriju. Na Slika 2 prikazan je sadržaj korijenskog direktorija Viber aplikacije na Linuxu. U tom direktoriju nalaze se podatci vezani za konfiguraciju aplikacije i metapodatci o korisniku. Također, nalazi se i direktorij kojemu je ime broj mobitela korisnika. U nastavku ćemo analizirati podatke iz tog direktorija.

                        Slika 2: Sadržaj na Linuxu

Na Slika 3 prikazan je sadržaj direktorija na kojem se nalaze podatci o razgovoru korisnika. Direktorij Avatars sadržava profilne slike kontakta, Backgrounds sadržava pozadine koje je moguće staviti tijekom korištenja aplikacije. Međutim, najvažnije informacije sadržavaju ostale datoteke koje pripadaju SQLite bazi podataka što se i jasno može vidjeti na Slika 4 nakon što se datoteka data.db otvori u hex prikazu u aplikaciji Visual Studio Code te se vidi da datoteka započinje s tekstom “SQLite format 3”.

                       Slika 3: Sadržaj razgovora

                    Slika 4: Binarni podatci data.db

Analiziramo bazu podataka koja se nalazi u data.db datoteci koristeći program DB Browser for SQLite. To je besplatni alat otvorenog koda koji nam omogućuje da pomoću grafičkog sučelja jednostavno pregledavamo i manipuliramo podatcima SQLite baze podataka. Na Slika 5 prikazana je shema baze podataka. Baza podataka sastoji se od samo jedne tablice DataTable. Na Slika 6 prikazan je sadržaj tablice DataTable i analizom sadržaja možemo zaključiti da je riječ o jednoj konfiguracijskoj tablici i da ne postoji puno jasnih i važnih informacija za forenzičara.

                       Slika 5: Shema data.db baze

                       Slika 6: Sadržaj data.db baze

Dalje analiziramo bazu podataka koja se nalazi u viber.db datoteci. Na Slika 7 vidimo da u hex prikazu datoteka ne započinje s tekstom “SQLite format 3”, što znači da je baza podataka vjerojatno enkriptirana i nećemo joj moći tako lako pristupiti jer je za dekripciju te baze potrebno znati koja vrsta enkripcije se koristi i ključ.

                    Slika 7: Binarni podatci viber.db

Za aplikacije kao što je WhatsApp, postoje besplatni alati koji u podatcima pronalaze ključ za enkriptiranu bazu te se tako baza može dekriptirati i analizirati. Za Viber, koji je manje popularan od WhatsAppa, ne postoje takvi besplatni alati.

Podatci o Viber aplikaciji na Windowsu nalaze se u C:/Users/<Korisnik>/AppData/Roaming/ViberPC direktoriju i identičnog su formata kao i podatci na Linuxu. Na Windows operacijskom sustavu također se enkriptira datoteka viber.db te je nemoguće pristupiti podatcima o porukama izvan aplikacije.

                      Slika 8: Sadržaj na Windowsu

Video prezentacija

Forenzička analiza Viber aplikacije vrlo je važna za područje računalne forenzike jer je to danas jedna od popularnijih aplikacija koju ljudi koriste za komunikaciju. Zbog toga što takve aplikacije mogu sadržavati osjetljive i privatne podatke, vrlo je važno da se podatci dobro i sigurno čuvaju. To se postiže kombinacijom različitih metoda: korištenjem enkripcije s kraja na kraj, ograničenja samog operacijskog sustava i šifriranjem podataka na disku. U ovom radu pokazana je struktura spremanja podataka Viber aplikacije na Windows, Linux i Android uređajima i sadržaj spremljenih podataka. Demonstrirano je korištenje alata Visual Studio Code za pregled binarne strukture podataka i DB Browser for SQLite za pregled same baze podatka koju koristi aplikacija. Postoje očigledne prepreke, tj. sigurnosne mjere koje otežavaju pristup i manipulaciju podataka aplikacije i pokazuje se nedostatak besplatnih alata koji će barem djelomično obuhvatiti funkcionalnost komercijalnih alata.

[1] Viber

[2] Finances Online

[3] Sgaras, Christos, M-Tahar Kechadi, and Nhien-An Le-Khac. “Forensics acquisition and analysis of instant messaging and VoIP applications.” Computational Forensics: 5th International Workshop, IWCF 2012, Tsukuba, Japan, November 11, 2012 and 6th International Workshop, IWCF 2014, Stockholm, Sweden, August 24, 2014, Revised Selected Papers. Springer International Publishing, 2015. https://arxiv.org/pdf/1612.00204

[4] Vasilaras, Alexandros, et al. “Android Device Incident Response: Viber Analysis.” 2022 IEEE International Conference on Cyber Security and Resilience (CSR). IEEE, 2022. https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9850300&tag=1

[5] DB Browser for SQLite

[6] Visual Studio Code