Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

Forenzička analiza podataka koje na pametnom telefonu ostavlja TikTok

Sažetak

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Komunikacija na pametnim telefonima se većinom obavlja putem društvenih mreža i aplikacija, a one ostavljaju velike količine podataka koje su korisne u forenzičkoj analizi. U ovom radu fokus je na forenzičkoj analizi podataka koju društvena aplikacija TikTok ostavlja na pametnim uređajima, te je ona odabrana zbog nedavnih kontroverzi o krađi i prodaji korisničkih podataka. Forenzička analiza se provodi pomoću alata Autopsy za Android uređaje te Qxygen Forensic Detective za android i iOS uređaje.

Keywords: mobile forensic; TikTok; Autopsy; Oxygen Forensic Detective; Android; iOS

Uvod

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Iako se pametni telefoni koriste za pozitivne aspekte našeg života, kriminalci ih koriste i kao medij za svoj način rada. Stoga postoje potencijalni podaci pohranjeni u pametnim telefonima koji se mogu koristiti za digitalne dokaze kao dio istrage. Međutim, istražitelji se mogu suočiti s izazovima u izdvajanju ključnih informacija i vitalnih podataka pohranjenih u pametnom telefonu. Dobar izvor informacija na pametnim mobitelima čine društvene aplikacije.

Pojavom Facebook-a, WhatsApp-a i Instagrama, veliki dio komunikacije preko pametnih telefona prebacio se upravo na te društvene mreže. Nove društvene aplikacije nastaju svake sekunde, ali u posljednje vrijeme aplikacija TikTok dobiva posebnu pozornost. Njen nagli porast popularnosti popraćen je i tužbama za kršenje privatnosti te prodajom podataka korisnika u svrhe špijuniranja [1].

U ovom radu osvrnut ćemo se na rad TikTok aplikacije te na alate Autopsy i Oxygen Forensics Detective koji se koriste za forenzičku analizu podataka koje TikTok ostavlja na Android te iOS pametnim uređajima.

TikTok

TikTok je popularna aplikacija na društvenim mrežama koja omogućava korisnicima gledanje, stvaranje i dijeljenje 15-sekundnih videozapisa snimljenih na mobitelima. Sa svojim personaliziranim feedovima neobičnih i kreativnih kratkih videozapisa, aplikaciju karakterizira zarazna kvaliteta i visoka razina angažmana [1]. Korisnici TikTok-a također mogu primati komentare, lajkove, izravne poruke i komentare od ostalih korisnika na platformi. Izuzetno je popularan među tinejdžerima i djecom. Svi su profili prema zadanim postavkama javni, a prebacivanje vašeg profila na privatni trenutno ne ograničava mogućnost drugih korisnika da vam šalju izravne poruke. Svi videozapisi s TikTok-a mogu se preuzimati s uređaja i dijeliti s drugim platformama za razmjenu poruka.

Iako je aplikacija postala dostupna tek 2017. godine, TikTok se nalazi u top 10 najpreuzimanijih aplikacija u desetljeću 2010. - 2019. Od svog osnivanja, TikTok za Android ima više od 1 000 milijuna preuzimanja kako prikazuje Google Play trgovina te je zabilježeno više od 315 milijuna instalacija tijekom prvog tromjesečja 2020.te godine, više nego bilo koja druga aplikacija ikada u tromjesečju [2].

Analiza podataka korištenjem Autopsy-a

U ovom poglavlju opisan je postupak forenzičke analize podataka koje TikTok aplikacija ostavlja putem Autopsy alata za Android mobilne uređaje. Autopsy je vodeća forenzička platforma otvorenog koda (engl. open source) koja je brza, jednostavna za upotrebu i sposobna analizirati sve vrste mobilnih uređaja i digitalnih medija [3]. Ima plug-in arhitekturu koja vam omogućuje pronalaženje dodatnih modula ili razvoj vlastitih prilagođenih modula u Javi ili Pythonu.

Postupak je utemeljen na radu Patricio Dominguesa et al. [2].

Metodologija

TikTok podatke koje koristimo u forenzičkoj analizi možemo podijeliti u dvije velike skupine:

  1. podaci pohranjeni u obliku XML dokumenata
  2. podaci pohranjeni u SQLite bazi podataka

TikTok podaci su pohranjeni u dva tipa SQLite baze. Prvi tip baze se sačinjava od podataka s lakim pristupom. Pristupačni podaci nalaze se u hijerarhiji direktorija koja postoji unutar /sdcard/Android/data/com.zhiliaoapp.musically direktorija. Te podatke nazivamo lako dostupnima zbog toga što za njihov pristup nisu potrebna korijenska (engl. root) prava i stoga su na određeni način lako dostupni.

Drugi tip baze pohranjuje podatke za čiji je pristup potrebno imati korijenski pristup (engl. root only data). Forenzički gledano tu su pohranjeni “bogatiji” podaci, a nalaze se u /data/data/com. zhiliaoapp.musically direktoriju, točnije u privatnoj pohrani aplikacije.

Lako dostupni podaci

S gledišta digitalne forenzike, najrelevantniji su podaci smješteni u poddirektorijima:

  • picture - Sadržava slike u poddirektorijima imenovanim od 0 do 99. Slike odgovaraju predloženom sadržaju

korisniku aplikacije, odnosno profilnim slikama i uglavnom plakatima iz videozapisa.

  • prefs - Sadrži nekoliko JSON datoteka u kojima se nalaze podaci vezani za HTTPS protokol koje koristi

TikTok, ponajviše imena HTTPS poslužitelja.

Korijenski podaci

Pregledavamo najsmislenije baze podataka s korijenskim pristupom i njihove tablice iz digitalno forenzičkog gledišta, a to su sljedeće:

  • - Cookies - Baza podataka kolačića ima samo jednu značajnu tablicu, koja se također naziva Cookies. Sadrži kolačiće sesije aplikacije stvorene pristupom Web prikaza. Polja creation_utc i last_access_utc su nam najzanimljivija polja pohranjena u tablici jer iz njih možemo iščitati vrijeme korištenja aplikacije.
  • - ss_app_log.db - Ova baza sadrži queue i event tablicu. Tablica queue koristi se kao red za slanje izvješća o upotrebi i rušenjima aplikacije. Tablica event čuva događaje, uglavnom interne događaje aplikacije, kao i interakciju korisnika s aplikacijom.
  • - userID_im.db - Ova baza podataka sadrži podatke o računu identificiranom preko userID-a (19-znamenkasti broj koji predstavlja jedinstvenu identifikaciju korisnika). Relevantni podaci koji se čuvaju u ovoj bazi podataka su poruke koje su razmijenili userID i drugi TikTok korisnici. Poruke se organiziraju u razgovore, gdje je razgovor skup poslanih / primljenih poruka između userID-a i drugog TikToka korisnika. Poruke ne obuhvaćaju samo tekstualne poruke, već i druge formate, poput slika (animiranih ili ne), videozapisa, hashtagove i audio. Zanimljivo, izbrisana poruka i dalje može postojati u bazi podataka, a polje za brisanje predstavlja je li poruka izbrisana (= 1) ili nije (= 0). Slično tome, polje read_status označava je li poruka već pročitana (= 1) ili nije (= 0).
  • - db_im_xx - tablica koja sadrži popis korisnika s kojima je userID komunicirao. Sastoji se od dvije tablice, od kojih jedino SIMPLE_USER tablica pruža značajne podatke. Ti podaci uključuju odnos userID korisnika i drugih korisnika s kojima je imao interakcije (međusobno se slijede ili ne).

XML datoteke

Sve XML datoteke nalaze se u rezerviranom području aplikacijske memorije te tako zahtijevaju root privilegije za pristup. Trenutno Autopsy ne sadržava module koji mogu pristupiti njihovom sadržaju.

TikTok modul za Autopsy Android Analyzer

Autopsy pruža podršku za operacijski sustav Android putem svog Android Analyzer okruženja, koje omogućuje razvoj modula za izdvajanje i analizu iz forenzičnih slika. U svrhu izdvajanja TikTok specifičnih podataka s Androida OS slike, razvijen je Tiktok.py, python modul za Android Analyzer, dostupan na https://github.com/labcif/T4AA. Trenutno modul parsira i dohvaća podatke iz userID_im.db i db_im_xx baze podataka, ali cilj developera je pružiti daljnju podršku za druge baze podataka koje sadrže značajne forenzičke artefakte za XML datoteke koje sadrže važne podatke za digitalnu forenziku.

Analiza podataka korištenjem Oxygen Forensic® Detective

Oxygen Forensic® Detective je forenzička softverska platforma izgrađena za izdvajanje, dekodiranje i analizu podataka iz više digitalnih izvora: mobilnih i IoT uređaja, sigurnosnih kopija uređaja, UICC i medijskih kartica, dronova i usluga u oblaku. Oxygen Forensic® Detective također može pronaći i izvući širok raspon artefakata, sistemskih datoteka kao i vjerodajnice s Windows, MacOS i Linux strojeva [4]. Za razliku od Autopsy-a, Oxygen se plaća.

Iz iOS pametnog telefona, pomoći Qxygen alata se mogu dobiti detaljni podaci o računu, uključujući korisničko ime, stvarno ime, sliku profila, opis glavnog računa i sve dodatne opise koji su prethodno prijavljeni s uređaja. Dakle, čak i ako je netko koristio nekoliko računa prije nego što je koristilo telefon koji je sada pod istragom, istražitelj i dalje može otkriti njihove prethodne račune i aktivnosti. Također možemo izvući i popis kontakata koji uključuje sljedbenike, ne-sljedbenike kao i izbrisane kontakte. Istražitelji također mogu izdvojiti kolačiće i predmemoriju, uključujući slike, videozapise, veze i zapisnike, podatke o chatu te čak i izbrisane poruke. Kako izgledaju prikupljeni podaci u alatu možete vidjeti na slici ispod koja je preuzeta sa stranice https://blog.oxygen-forensic.com/whos-knocking-tiktok/ .

Za Android uređaje, Qxygen alatom možemo izvući sve prethodne podatke kao i korisnička preuzimanja, povijest aktivnosti, zvučne datoteke te sve hashtagove koje su korisnici koristili, ali i pretraživali [5]. Kako izgledaju prikupljeni podaci u alatu za Android možete vidjeti na slici ispod koja je također preuzeta sa stranice https://blog.oxygen-forensic.com/whos-knocking-tiktok/ .

Zaključak

Neovisno o tome koje alate koristimo, TikTok podaci pohranjeni na pametnom računalu mogu pružiti veliki uvid u korisnikov život. Iako Oxygen alat ima veću mogućnost parsiranja podataka, besplatan alat Autopsy također može parsirati sve konverzacije koje je userID imao s drugim korisnicima pa čak i izbrisane poruke na izbrisanim računima. Premda je TikTok kontroverzna aplikacija zbog traženja većih prava pristupa resursima pametnog telefona, upravo to njene podatke čini bogatima i optimalnim za forenzičku analizu.

Literatura

racfor_wiki/forenzicka_analiza_podataka_koje_na_pametnom_telefonu_ostavlja_tiktok.txt · Zadnja izmjena: 2023/06/19 18:17 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0