Forenzička analiza podataka koje na pametnom telefonu ostavlja TikTok

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Komunikacija na pametnim telefonima se većinom obavlja putem društvenih mreža i aplikacija, a one ostavljaju velike količine podataka koje su korisne u forenzičkoj analizi. U ovom radu fokus je na forenzičkoj analizi podataka koju društvena aplikacija TikTok ostavlja na pametnim uređajima, te je ona odabrana zbog nedavnih kontroverzi o krađi i prodaji korisničkih podataka. Forenzička analiza se provodi pomoću alata Autopsy za Android uređaje te Qxygen Forensic Detective za android i iOS uređaje.

Keywords: mobile forensic; TikTok; Autopsy; Oxygen Forensic Detective; Android; iOS

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Iako se pametni telefoni koriste za pozitivne aspekte našeg života, kriminalci ih koriste i kao medij za svoj način rada. Stoga postoje potencijalni podaci pohranjeni u pametnim telefonima koji se mogu koristiti za digitalne dokaze kao dio istrage. Međutim, istražitelji se mogu suočiti s izazovima u izdvajanju ključnih informacija i vitalnih podataka pohranjenih u pametnom telefonu. Dobar izvor informacija na pametnim mobitelima čine društvene aplikacije.

Pojavom Facebook-a, WhatsApp-a i Instagrama, veliki dio komunikacije preko pametnih telefona prebacio se upravo na te društvene mreže. Nove društvene aplikacije nastaju svake sekunde, ali u posljednje vrijeme aplikacija TikTok dobiva posebnu pozornost. Njen nagli porast popularnosti popraćen je i tužbama za kršenje privatnosti te prodajom podataka korisnika u svrhe špijuniranja [1].

U ovom radu osvrnut ćemo se na rad TikTok aplikacije te na alate Autopsy i Oxygen Forensics Detective koji se koriste za forenzičku analizu podataka koje TikTok ostavlja na Android te iOS pametnim uređajima.

TikTok je popularna aplikacija na društvenim mrežama koja omogućava korisnicima gledanje, stvaranje i dijeljenje 15-sekundnih videozapisa snimljenih na mobitelima. Sa svojim personaliziranim feedovima neobičnih i kreativnih kratkih videozapisa, aplikaciju karakterizira zarazna kvaliteta i visoka razina angažmana [1]. Korisnici TikTok-a također mogu primati komentare, lajkove, izravne poruke i komentare od ostalih korisnika na platformi. Izuzetno je popularan među tinejdžerima i djecom. Svi su profili prema zadanim postavkama javni, a prebacivanje vašeg profila na privatni trenutno ne ograničava mogućnost drugih korisnika da vam šalju izravne poruke. Svi videozapisi s TikTok-a mogu se preuzimati s uređaja i dijeliti s drugim platformama za razmjenu poruka.

Iako je aplikacija postala dostupna tek 2017. godine, TikTok se nalazi u top 10 najpreuzimanijih aplikacija u desetljeću 2010. - 2019. Od svog osnivanja, TikTok za Android ima više od 1 000 milijuna preuzimanja kako prikazuje Google Play trgovina te je zabilježeno više od 315 milijuna instalacija tijekom prvog tromjesečja 2020.te godine, više nego bilo koja druga aplikacija ikada u tromjesečju [2].

U ovom poglavlju opisan je postupak forenzičke analize TikTok podataka putem Autopsy alata za Android mobilne uredaje. Autopsy je vodeća forenzička platforma otvorenog koda (engl. open source) koja je brza, jednostavna za upotrebu i sposobna analizirati sve vrste mobilnih uređaja i digitalnih medija [3]. Ima plug-in arhitekturu koja vam omogućuje pronalaženje dodatnih modula ili razvoj vlastitih prilagođenih modula u Javi ili Pythonu.

Postupak je utemeljen na radu Patricio Dominguesa et al. [2].

Ovaj tip skeniranja hakeri koriste da bi saznali koje su IP adrese aktivne u mreži. Ping Sweep sken može se izvesti pomoću ICMP ili TCP/UDP protokola. “Pomoću ICMP protokola” jest najpoznatiji način te u ovom načinu: ECHO zahtjev slijedi ICMP porukom “Echo Reply”, ECHO paketi odgovoraju na upit dok su TCP / UDP ping sweep paketi namijenjeni TCP / UDP priključku 7, ECHO priključku. Ako taj ciljni domaćin ne podržava ECHO uslugu, tada TCP / UDP ping sweep neće raditi. Stoga se uglavnom koristi ICMP ping sweep, ali ako između njih postoji vatrozid (engl. firewall) koji je konfiguriran za blokiranje ICMP paketa, onda je čak i ICMP ping sweep beskoristan. PING Sweep Scan Da bismo otkrili ICMP ping sweep u WireSharku dovoljno je postaviti filtere icmp.type == 8 i icmp.type == 0 (Echo, Echo Reply, respektivno). TCP ping sweep možemo otkriti pomoću tcp.dstport == 7 filtra, a UDP ping sweep pomoću udp.dstport == 7 filtra. Dobivamo li nakon ovih promjena više paketa od očekivanog - lako je moguće da se odvija Ping Sweep nad mrežom. No, pošto je sve ovo moguće (odredjen broj paketa) i pri normalnom radu, ne možemo garantirati da se radi o Ping Sweepu. Najbliže garancije nam je povećan broj ICMP paketa.

Kao što smo rekli, kada se postavi vatrozid na pravo mjesto te blokira ICMP tada hakeri ne mogu provesti Ping Sweep. U takvim situacijama ARP Scan je pogodan za odrediti aktivne IP adrese u mreži. Provodi se tako što haker šalje ARP Broadcast (0xff:ff:ff:ff:ff:ff) za svaku IP adresu u mreži. Tako dobiva odgovor koje su aktivne. Prednost kod ARP Scana je ta što se ARP komunikacija ne može blokirati niti pravilno filtrirati jer su TCP/IP protokoli ovisni o ARPu za pronalazak MAC adresa. Ovo skeniranje lako otkrivamo pomoću filtra ARP, kojim gledamo samo ARP pakete. Imamo li povećan broj ARP upita možemo pretpostaviti da se radi o ARP scanu.

Kada želimo (hakeri) otkriti koja su vrata (engl. port) otvorena a koja zatvorena, najefektivniji je TCP Stealth Scan. Napadač šalje TCP SYN paket za otvaranje komunikacije na odredišna vrata, poput normalne komunikacije. Tada ako su vrata otvorena dobiva povratne poruke SYN+ACK, a ako su zatvorena RST+ACK. Kada napadač dobije poruku SYN+ACK on će odgovoriti sa RST jer ne želi otvarati komunikaciju (TCP sesiju). Ako su ciljana vrata zaštićena vatrozidom očekivani odgovor je paket ICMP tipa 3 (s kodom 1,2,3,9,10 ili 13). Dakle, u Wiresharku ako dobivamo puno RST paketa ili ICMP paketa tipa 3, to može biti znak da se odvija Stealth Scan. Na slici vidimo velik promet SYN i RST paketa ali između domaćina (engl. hosts) nema neke razmjene podataka. Da bismo dobili brzi pregled snimanja, možemo otići na gornji izbornik Statistics → Conversations, a zatim na karticu TCP. Tamo možemo vidjeti više TCP sesija, ali sve imaju manje od 4 paketne komunikacije, što nam je znak da se odvija skeniranje TCP vrata.

Prilikom Null Scana napadač šalje TCP poruku bez postavljene zastavice. Ukoliko dobije povratnu poruku s postavljenom zastavicom RST to znači da su vrata zatvorena. Ako ne dobije pak nikakvu poruku to znači da su vrata otvorena, a ako dobije paket ICMP tipa 3 postavljen je vatrozid. Null scan lako je otkriti u WireSharku, sve što treba je postaviti filter TCP.flags==0x000 kako bi dobili sve TCP pakete bez postavljene zastavice.

[1] Deborah Dsouza. What is TikTok?. Feb 10, 2020.

[2] Patricio Domingues, Ruben Nogueira, José Carlos Francisco, and Miguel Frade. 2020. Post-mortem digital forensic artifacts of TikTok Android App. In The 15th International Conference on Availability, Reliability and Security (ARES 2020), August 25–28, 2020.

[3] Autopsy official Web page