Sadržaj

Android Snapchat forenzika

Sažetak

Snapchat je moderna popularna društvena aplikacija. Snapchat dio podataka briše, ali veliki dio ipak ostaje u memoriji uređaja. Te podatke možemo dohvatiti korištenjem raznih metoda i alata, kao što su Autopsy i AXIOM. Podaci Snapchat aplikacije se mogu pronaći na putanji /data/com.snapchat.android. Svaki od prethodno navedenih alata ima svoje prednosti i nedostatke. Glavna baza podataka je tcspahn.db. Dohvaćene poruke su kriptirane, kao i informacija tko je poslao koju sliku, što dodatno otežava posao povezivanja podataka. Plaćeni alat za dohvaćanje slika s Android uređaja je uMobix, no on samo omogućuje dohvaćanje slika.

Prezentacija

https://ferhr-my.sharepoint.com/:p:/g/personal/tj52745_fer_hr/Efvc5KVOk9pDq-nuXp9E2cMBbi8qBhcZFjuOcmJePTbzOA?e=jBrZMi

Uvod

Snapchat je moderna popularna društvena aplikacija. Korisnici mogu razmjenjivati slike, videozapise, poruke, a mogu slati i priče. Većina Snapchat-ovih podataka se briše automatski iz memorije uređaja (priče korisnika). Upravo ta činjenica je dovela do velike popularnosti ove platforme. Međutim, određeni dio podataka ipak ostaje i do njih se može doći korištenjem metoda digitalne forenzike. Za otkrivanje ovih podataka bit će korištena dva alata: Autopsy i AXIOM.

Dohvaćanje podataka

Za izvršavanje ovog eksperimenta potrebno nam je računalo, Android uređaj i USB kabel. Podaci Snapchat aplikacije se mogu pronaći na putanji /data/com.snapchat.android. Najprije je na Android mobilnom uređaju instalirana i korištena Snapchat aplikacija. Zatim je uz pomoć alata AXIOM Process napravljena virtualna slika Android uređaja na računalu te se nakon toga, kako bismo si olakšali posao, podaci pregledaju uz pomoć alata AXIOM Examine i Autopsy. AXIOM Examine daje tablični pregled dohvaćenih podataka, dok Autopsy omogućuje pregled slika i videozapisa.

Analiza dohvaćenih podataka

Oba alata (AXIOM Examine i Autopsy) daju detaljan tekstualni pregled metapodataka pronađenih datoteka, ali podaci o pošiljatelju i primatelju nisu bili nigdje zapisani. Prednost korištenja alata Autopsy je ta što se njime može vidjeti poslana slika i videozapis, dok to nije moguće korištenjem AXIOM Examine alata. Svi podaci koji se mogu dohvatiti i analizirati korištenjem navedenih alata su prikazani u tablici ispod.

Za tablični prikaz baze podataka korišten je AXIOM Examine alat, koji se nalaze u tcspahn.db, a dobiveni sadržaj je prikazan na slici ispod. Valja napomenuti da su poruke bile kriptirane te se do njihovog sadržaja teško dolazi, ali nije nemoguće. Također, vrlo je teško otkriti tko je poslao koju sliku ili videozapis, jer su i te informacije zaštićene. Postoje metode dekriptiranja tih informacija i dolaska do podataka, ali sve metode koje sam ja pronašao su bile vezane za iOS operacijski sustav.

Dodatni alat za dohvaćanje slika s Android-a

Uz prethodno navedene alate, postoji još jedan alat, kojim se mogu dohvatiti Snapchat slike s Android uređaja. To je alat uMobix, no taj alat, za razliku od prethodna dva, nije besplatan.

Zaključak

Iako Snapchat automatski briše priče korisnika, brojni podaci ostaju sačuvani u memoriji uređaja. Do tih se podataka može doći raznim tehnikama i alatima, kao što su AXIOM i Autopsy te se ti podaci zatim mogu i interpretirati. Stoga, korisnici trebaju biti oprezni što šalju i kome!

Literatura

  1. Snapchat Analysis to Discover Digital Forensic Artifacts on Android Smartphone, Tadani Alyahya, Firdous Kausar