Forenzička analiza podataka koje na pametnom telefonu ostavlja TikTok

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Komunikacija na pametnim telefonima se većinom obavlja putem društvenih mreža i aplikacija, a one ostavljaju velike količine podataka koje su korisne u forenzičkoj analizi. U ovom radu fokus je na forenzičkoj analizi podataka koju društvena aplikacija TikTok ostavlja na pametnim uređajima, te je ona odabrana zbog nedavnih kontroverzi o krađi i prodaji korisničkih podataka. Forenzička analiza se provodi pomoću alata Autopsy za Android uređaje te Qxygen Forensic Detective za android i iOS uređaje.

Keywords: mobile forensic; TikTok; Autopsy; Oxygen Forensic Detective; Android; iOS

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Iako se pametni telefoni koriste za pozitivne aspekte našeg života, kriminalci ih koriste i kao medij za svoj način rada. Stoga postoje potencijalni podaci pohranjeni u pametnim telefonima koji se mogu koristiti za digitalne dokaze kao dio istrage. Međutim, istražitelji se mogu suočiti s izazovima u izdvajanju ključnih informacija i vitalnih podataka pohranjenih u pametnom telefonu. Dobar izvor informacija na pametnim mobitelima čine društvene aplikacije.

Pojavom Facebook-a, WhatsApp-a i Instagrama, veliki dio komunikacije preko pametnih telefona prebacio se upravo na te društvene mreže. Nove društvene aplikacije nastaju svake sekunde, ali u posljednje vrijeme aplikacija TikTok dobiva posebnu pozornost. Njen nagli porast popularnosti popraćen je i tužbama za kršenje privatnosti te prodajom podataka korisnika u svrhe špijuniranja [1].

U ovom radu osvrnut ćemo se na rad TikTok aplikacije te na alate Autopsy i Oxygen Forensics Detective koji se koriste za forenzičku analizu podataka koje TikTok ostavlja na Android te iOS pametnim uređajima.

TikTok je popularna aplikacija na društvenim mrežama koja omogućava korisnicima gledanje, stvaranje i dijeljenje 15-sekundnih videozapisa snimljenih na mobitelima. Sa svojim personaliziranim feedovima neobičnih i kreativnih kratkih videozapisa, aplikaciju karakterizira zarazna kvaliteta i visoka razina angažmana [1]. Korisnici TikTok-a također mogu primati komentare, lajkove, izravne poruke i komentare od ostalih korisnika na platformi. Izuzetno je popularan među tinejdžerima i djecom. Svi su profili prema zadanim postavkama javni, a prebacivanje vašeg profila na privatni trenutno ne ograničava mogućnost drugih korisnika da vam šalju izravne poruke. Svi videozapisi s TikTok-a mogu se preuzimati s uređaja i dijeliti s drugim platformama za razmjenu poruka.

Iako je aplikacija postala dostupna tek 2017. godine, TikTok se nalazi u top 10 najpreuzimanijih aplikacija u desetljeću 2010. - 2019. Od svog osnivanja, TikTok za Android ima više od 1 000 milijuna preuzimanja kako prikazuje Google Play trgovina te je zabilježeno više od 315 milijuna instalacija tijekom prvog tromjesečja 2020.te godine, više nego bilo koja druga aplikacija ikada u tromjesečju [2].

U ovom poglavlju opisan je postupak forenzičke analize podataka koje TikTok aplikacija ostavlja putem Autopsy alata za Android mobilne uređaje. Autopsy je vodeća forenzička platforma otvorenog koda (engl. open source) koja je brza, jednostavna za upotrebu i sposobna analizirati sve vrste mobilnih uređaja i digitalnih medija [3]. Ima plug-in arhitekturu koja vam omogućuje pronalaženje dodatnih modula ili razvoj vlastitih prilagođenih modula u Javi ili Pythonu.

Postupak je utemeljen na radu Patricio Dominguesa et al. [2].

TikTok podatke koje koristimo u forenzičkoj analizi možemo podijeliti u dvije velike skupine:

1. podaci pohranjeni u obliku XML dokumenata
2. podaci pohranjeni u SQLite bazi podataka

TikTok podaci su pohranjeni u dva tipa SQLite baze. Prvi tip baze se sačinjava od podataka s lakim pristupom. Pristupačni podaci nalaze se u hijerarhiji direktorija koja postoji unutar /sdcard/Android/data/com.zhiliaoapp.musically direktorija. Te podatke nazivamo lako dostupnima zbog toga što za njihov pristup nisu potrebna korijenska (engl. root) prava i stoga su na određeni način lako dostupni.

Drugi tip baze pohranjuje podatke za čiji je pristup potrebno imati korijenski pristup (engl. root only data). Forenzički gledano tu su pohranjeni “bogatiji” podaci, a nalaze se u /data/data/com. zhiliaoapp.musically direktoriju, točnije u privatnoj pohrani aplikacije.

S gledišta digitalne forenzike, najrelevantniji su podaci smješteni u poddirektorijima:

• picture - Sadržava slike u poddirektorijima imenovanim od 0 do 99. Slike odgovaraju predloženom sadržaju

korisniku aplikacije, odnosno profilnim slikama i uglavnom plakatima iz videozapisa.

• prefs - Sadrži nekoliko JSON datoteka u kojima se nalaze podaci vezani za HTTPS protokol koje koristi

TikTok, ponajviše imena HTTPS poslužitelja.

Kada želimo (hakeri) otkriti koja su vrata (engl. port) otvorena a koja zatvorena, najefektivniji je TCP Stealth Scan. Napadač šalje TCP SYN paket za otvaranje komunikacije na odredišna vrata, poput normalne komunikacije. Tada ako su vrata otvorena dobiva povratne poruke SYN+ACK, a ako su zatvorena RST+ACK. Kada napadač dobije poruku SYN+ACK on će odgovoriti sa RST jer ne želi otvarati komunikaciju (TCP sesiju). Ako su ciljana vrata zaštićena vatrozidom očekivani odgovor je paket ICMP tipa 3 (s kodom 1,2,3,9,10 ili 13). Dakle, u Wiresharku ako dobivamo puno RST paketa ili ICMP paketa tipa 3, to može biti znak da se odvija Stealth Scan. Na slici vidimo velik promet SYN i RST paketa ali između domaćina (engl. hosts) nema neke razmjene podataka. Da bismo dobili brzi pregled snimanja, možemo otići na gornji izbornik Statistics → Conversations, a zatim na karticu TCP. Tamo možemo vidjeti više TCP sesija, ali sve imaju manje od 4 paketne komunikacije, što nam je znak da se odvija skeniranje TCP vrata.

Autopsy pruža podršku za operacijski sustav Android putem svog Android Analyzer okruženja, koje omogućuje razvoj modula za izdvajanje i analizu iz forenzičnih slika. U svrhu izdvajanja TikTok specifičnih podataka s Androida OS slike, razvijen je Tiktok.py, python modul za Android Analyzer, dostupan na https://github.com/labcif/T4AA. Trenutno modul parsira i dohvaća podatke iz userID_im.db i db_im_xx baze podataka, ali cilj developera je pružiti daljnju podršku za druge baze podataka koje sadrže značajne forenzičke artefakte za XML datoteke koje sadrže važne podatke za digitalnu forenziku.

[1] Deborah Dsouza. What is TikTok?. Feb 10, 2020.

[2] Patricio Domingues, Ruben Nogueira, José Carlos Francisco, and Miguel Frade. 2020. Post-mortem digital forensic artifacts of TikTok Android App. In The 15th International Conference on Availability, Reliability and Security (ARES 2020), August 25–28, 2020.

[3] Autopsy official Web page