Forenzička analiza podataka koje na pametnom telefonu i web pregledniku ostavlja Instagram

Instagram je jedna od najbrže rastućih društvenih mreža, koja služi za dijeljenje fotografija i video zapisa.

Kako su i mobiteli i osobna računala povezana na iste servise, novije aplikacije trebaju i podržavati obje vrste korisnika.

Cilj ovog rada je analizirati što Instagram sprema na uređaj na kojem se koristi, usporediti jesu li ti podaci jednaki za platforme Android i Windows te otkriti utječe li korištenje web preglednika ili Android aplikacije na razinu privatnosti.

Ključne riječi: Instagram; digitalna forenzika; društvena mreža

Instagram je američka društvena mreža za dijeljenje fotografija i video zapisa. Osmišljena je 2010. godine za iOS, a kasnije dostupnost aplikacije proširena je na Android, Windows i osobna računala. 2012. godine prelazi u vlasništvo Facebooka za milijardu dolara. Instagram omogućuje korisnicima prijenos fotografija i video zapisa, koji se mogu uređivati raznim filtrima i organizirati oznakama (engl. hashtag) i podacima o lokaciji. Objave na računu mogu se dijeliti javno ili s unaprijed odobrenim pratiteljima. Korisnici mogu pregledavati sadržaj drugih korisnika po oznakama i lokacijama i pregledavati trenutno popularan sadržaj, a praćenjem novih korisnika omogućuje se pregledavanje sadržaja koji su objavili.

Digitalna forenzika je znanost čiji je cilj prikupljanje, čuvanje, pronalaženje, analiza i dokumentiranje digitalnih dokaza tj. podataka koji su skladišteni, obrađivani ili prenošeni u digitalnom obliku. Dijeli se na računalnu forenziku, forenziku mobilnih uređaja, mrežnu forenziku i forenziku baza podataka.

Ovaj rad proučava tipične scenarije korisnika (prijava, prijenos slika, razmjena podataka i traženje drugih korisnika) i podatke koje ti scenariji ostavljaju kroz web preglednik (Google Chrome) na Windows 10 okruženju i aplikaciju na Android platformi na virtualnom uređaju.

Web preglednik pokrenut je na operacijskom sustavu Windows 10 s VMware virtualnim strojem u normalnom načinu rada. Za prijenos fotografija na Instagram na web pregledniku korišteno je proširenje Gramblr (standarna verzija Instagrama ne dopušta prijenos fotografija na web preglednicima).

Za VMDK datoteke s tvrdog diska korišten je WinHex za pretraživanje ključnih riječi.

Traženjem ključne riječi “www.instagram.com/” pronađeno je ime korisnika i njegov nadimak prikazano na slici 1.

Slika 1.

Traženjem ključne riječi “Gramblr” pronađen je put do originalnih i modificiranih fotografija, prikazano na slici 2.

Slika 2.

Traženjem ključne riječi “/?Taken-By=” pronađeni su URL-ovi za prijenos slika. URL takvih fotografija je fiksnog formata: “https:www.instagram.com/p/{enkodirana fotografija}/?taken-by={račun}”. Na slici 3 rezultati su tog pretraživanja i dokazuju da je korisnik uploadao fotografiju.

Slika 3.

Traženjem ključne riječi “gramblr.db” pronađena je lokacija baze podataka Gramblera.

Korištenjem programa DB Browser for SQLite ta baza podataka može se pregledati i otkriva se da sadrži nadimak i lozinku računa, što se vidi na slici 4.

Slika 4.

Pretraživanje po ključnoj riječi “text” otkrilo je tragove komentara koje je korisnik ostavio na slici drugog korisnika, a na slici 5 prikazan je komentar “TEESTT” koji je korisnik napisao.

Slika 5.

Osim tih podataka, nemoguće je pronaći dokaze o vremenima prijenosa fotografija i objava, sadržaj objava i aktivnost korisnika, kao što je označivanje drugih korisnika, dodavanje oznaka (engl. hashtag), podaci o pratiteljima ako se koriste slijedeće ključne riječi: “time”, “timestamp”, “tag”, “follower”, “like”, “label” i imena računa drugih korisnika.

Za analiziranje VMEM datoteke, memorije računala, korišten je isti alat kao u prethodnom slučaju i pronađeni su svi tragovi kao i u prethodnom slučaju. Dodatno, ako se napravi pretraživanje po ključnoj riječi “like”, dokaz o vremenu označivanja slike sa “sviđa mi se” je pronađen, što je prikazano na slici 6.

Slika 6.

Aplikacija Instagram instalirana je i pokrenuta na Bluestacks virtualnom uređaju u istoj kombinaciji kao i web preglednik (Windows 10/VMware). Odabrana je Android 6.0 verzija operacijskog sustava. Za pregledavanje baze podataka korišten je SQLite Editor, ES File Explorer za pregledavanje datoteka virtualnog Bluestacks uređaja, a WinHex za forenzičku analizu datoteka.

Pronađene su “Cookies” i “Web Data” datoteke baze podataka na lokaciji “”/data/data/com.instagram.android/app/_webview/“. Obje datoteke mogu se pregledati koristeći SQLite Editor. U datoteci “Cookies” pronađeni su detalji računa, verzija Android uređaja, dok u datoteci “Web Data” nema korisnih tragova.

Nakon prijenosa fotografija na Instagram i brisanja istih, one su sačuvane na lokaciji “sdcard/Pictures/Instagram/”.

Osim toga, “clean” i “journal” pronađene su na lokaciji “sdcard/Android/data/com.instagram.android/cache/” i ne sadrže nikakve korisne tragove.

Nakon kopiranja datoteka povezanih s Instagramom i Bluestacksom s virtualnog stroja u drugo računalno okruženje radi forenzičke analize pronađena je datoteka “apps.json” na lokaciji ”Bluestacks/UserData/Gadget” koja je sadržava detalje računa, lozinku računa i verziju Android uređaja.

Preptostavlja se da većina tragova korištenja aplikacije, iz prije navedene analize, se nalazi na poslužitelju, a puno manje na klijentskoj strani.

Intagram, kao društvena mreža za dijeljenje fotografija i video zapisa