Otključavanje Android uređaja u forenzičke svrhe

S obzirom na sveprisutnost pametnih telefona u modernom društvu, mobilni uređaji postali su jedno od najvažnijih sredstava digitalne forenzike. Android, kao najrašireniji operacijski sustav za mobilne uređaje, zauzima značajno mjesto u forenzičkim istragama. Uređaji s ovim sustavom sadrže širok raspon podataka od komunikacije, lokacijskih podataka, do pohranjenih multimedijalnih sadržaja koji mogu poslužiti kao ključni dokazi u istragama kaznenih djela, industrijske špijunaže, povreda privatnosti ili internih istraga u organizacijama.

Međutim, jedan od glavnih izazova u pristupu ovim podacima jest sigurnost Android uređaja. Moderni Android uređaji koriste snažne metode zaštite: enkripciju memorije, PIN/uzorak/lozinku, biometrijsku autentifikaciju te sustave poput Secure Boot i Trusted Execution Environment (TEE). Te zaštite otežavaju ili u potpunosti onemogućuju pristup podacima bez suradnje korisnika, što predstavlja izazov za forenzičare, posebno u situacijama kada je uređaj zaključan, oštećen ili je korisnik preminuo.

Ovaj rad istražuje različite metode otključavanja Android uređaja u forenzičke svrhe. Analiziraju se tehnički pristupi kao što su iskorištavanje ranjivosti (exploits), fizičko preslikavanje memorije, korištenje JTAG/Chip-Off tehnika te komercijalni alati poput Cellebrite UFED, Magnet AXIOM i drugih koji nude rješenja za otključavanje i ekstrakciju podataka. Posebna pažnja posvećuje se i etičkim i pravnim aspektima ovakvih postupaka, uključujući nužnost sudskih naloga, zaštitu osobnih podataka i ulogu GDPR-a.

Seminarski rad strukturiran je tako da pruža jasan pregled sigurnosne arhitekture Android sustava, prikazuje konkretne primjere alata i metoda korištenih u praksi, te komentira prednosti i ograničenja svakog pristupa. Cilj rada nije samo pokazati kako se uređaj može otključati, već i istaknuti odgovornost i potrebu za poštivanjem zakona i etičkih smjernica prilikom forenzičkog postupanja.

Kroz ovaj rad dobije se cjelovita sliku o složenosti i važnosti otključavanja Android uređaja u digitalnoj forenzici, ali i razumijevanje šireg konteksta u kojem se takvi postupci odvijaju.

Pametni telefoni postali su nezaobilazan dio svakodnevnog života i središnje mjesto za pohranu osobnih, komunikacijskih i poslovnih podataka korisnika. Android operacijski sustav, kao najraširenija mobilna platforma, prisutan je na više od 70% svjetskih mobilnih uređaja, čime se Android uređaji sve češće nalaze u fokusu digitalnih forenzičkih istraga.

Za računalne forenzičare, pristup zaključanom Android uređaju predstavlja prvi i često najteži izazov u postupku prikupljanja digitalnih dokaza. Bez mogućnosti otključavanja uređaja, pristup ključnim informacijama kao što su pozivi, poruke, povijest pretraživanja, lokacije i druge digitalne aktivnosti praktički je nemoguć.

Međutim, za razliku od metoda otključavanja koje se koriste u komercijalne svrhe, poput resetiranja uređaja ili korištenja alata koji brišu korisničke podatke, forenzička analiza zahtijeva pristup metodama koje ne narušavaju integritet izvornog sadržaja. Cilj je prikupiti podatke na način koji je zakonski prihvatljiv, reproducibilan i ne dovodi do promjene sadržaja uređaja.

U ovom radu analiziraju se različite metode otključavanja Android uređaja s naglaskom na njihovu primjenjivost u digitalnoj forenzici. Poseban fokus bit će na tehnikama koje omogućuju pristup podacima bez njihovog brisanja ili mijenjanja, kao i na specijaliziranim alatima i uređajima koji se koriste u profesionalnoj forenzici.

Razumijevanje sigurnosne arhitekture Android operacijskog sustava ključno je za svaku forenzičku analizu, osobito kada je riječ o otključavanju uređaja bez kompromitiranja podataka. Android sustav temelji se na slojevitoj arhitekturi, pri čemu svaki sloj ima definiranu ulogu u zaštiti korisničkih podataka i kontrole pristupa.

Na najnižoj razini nalazi se Linux kernel, koji upravlja osnovnim hardverskim resursima i osigurava temeljne sigurnosne mehanizme poput kontrole dozvola, korisničkih privilegija i izolacije procesa. Iznad njega smješten je Hardware Abstraction Layer (HAL), koji omogućava standardiziran pristup hardveru bez obzira na proizvođača uređaja.

Sljedeći slojevi uključuju ART (Android Runtime) i libraries, koji osiguravaju izvršavanje aplikacija i komunikaciju s baznim sustavom. Nad tim slojevima nalazi se Java API Framework, koji aplikacijama omogućuje pristup funkcionalnostima poput pristupa kontaktima, lokaciji, kameri i mrežnim postavkama, ali samo uz eksplicitno odobrenje korisnika.

Na vrhu sigurnosne hijerarhije nalaze se System Apps, uključujući postavke uređaja i aplikacije koje dolaze s operacijskim sustavom. Upravo ove aplikacije kontroliraju ključne sigurnosne postavke poput zaključavanja zaslona, enkripcije memorije i autorizacije korisnika.

Uz samu arhitekturu, Android implementira dodatne sigurnosne komponente poput enkripcije cijelog uređaja (Full Disk Encryption ili File-Based Encryption), Verified Boot (koji detektira neautorizirane promjene u boot sekvenci) te SafetyNet (mehanizam za provjeru integriteta uređaja s Googleovim poslužiteljima).

Ova višeslojna zaštita čini Android uređaje iznimno otpornima na neautorizirani pristup, što predstavlja ozbiljan izazov u forenzičkom kontekstu. Prije svake forenzičke akvizicije, istražitelji moraju pažljivo analizirati sigurnosne mehanizme koji su aktivni na ciljanom uređaju uključujući vrstu zaključavanja, enkripciju i status root pristupa kako bi mogli odabrati odgovarajuću i zakonski prihvatljivu metodu otključavanja.

U kontekstu digitalne forenzike, otključavanje Android uređaja može biti ključan korak za prikupljanje dokaza. Pristup zaključanom uređaju omogućava forenzičaru dohvat komunikacijskih podataka, lokacijskih tragova, metapodataka i aplikacijskih sadržaja koji mogu imati izravnu pravnu ili istražnu vrijednost. Međutim, zbog složenih sigurnosnih mehanizama, metode otključavanja moraju biti pažljivo odabrane i primijenjene kako bi bile tehnički učinkovite, ali i forenzički prihvatljive.

Softverske metode otključavanja oslanjaju se na postojeće funkcionalnosti uređaja i koriste se kada uređaj nije rootan. One su preferirane u forenzičkom radu jer ne mijenjaju memoriju uređaja i čuvaju integritet digitalnog dokaza.

USB debugging (ADB pristup) Ako je na uređaju prethodno aktiviran “USB debugging”, putem Android Debug Bridge (ADB) moguće je dohvatiti određene korisničke podatke, posebno ako uređaj nije zaštićen dodatnim enkripcijama. Ovo je učinkovito, ali rijetko primjenjivo u praksi, budući da debugging opcija mora biti aktivirana prije zaključavanja uređaja.

Forenzičke sigurnosne kopije (backup pristup) Neki Android uređaji, osobito oni određenih proizvođača (npr. Xiaomi, Huawei), omogućuju izradu lokalnih sigurnosnih kopija koje uključuju aplikacijske podatke. Ako kopija ne zahtijeva šifru, moguće ju je analizirati forenzičkim alatima (npr. Autopsy, Magnet AXIOM). Ova metoda ne zahtijeva root pristup i može biti vrlo korisna u situacijama kada je uređaj funkcionalan, ali zaključan.

Kada softverski pristup nije moguć, prelazi se na fizičke i tehnički zahtjevnije metode koje često uključuju manipulaciju hardverom.

Chip-Off tehnika Uključuje fizičko uklanjanje memorijskog čipa s matične ploče i njegovo očitavanje posebnim uređajima. Iako omogućuje pristup gotovo svim podacima, ova metoda je destruktivna i nosi rizik trajnog gubitka podataka. Primjenjuje se samo ako druge metode nisu moguće.

JTAG (Joint Test Action Group) Koristi posebne dijagnostičke pinove na matičnoj ploči uređaja za pristup memoriji bez fizičkog uklanjanja čipa. Ova metoda zahtijeva visoku razinu tehničkog znanja i pristup dokumentaciji uređaja, ali omogućuje očuvanje fizičkog integriteta telefona.

ISP (In-System Programming) Neinvazivna alternativa chip-off metodi, koja omogućuje izravno čitanje memorije bez potrebe za uklanjanjem čipa. Potrebno je precizno mapiranje memorijskih linija i napredno tehničko znanje.

Mnoge metode otključavanja temelje se na poznatim ranjivostima u Android sustavu koje omogućuju eskalaciju privilegija ili zaobilaženje zaključavanja.

Zero-day i javno poznate ranjivosti (CVE) Povijesno, ranjivosti poput Dirty COW (CVE-2016-5195) ili Towelroot omogućile su dobivanje root pristupa bez fizičkog mijenjanja uređaja. Ovakvi exploit alati su rijetki i brzo se blokiraju zakrpama, ali predstavljaju važan dio arsenala forenzičkih alata.

Custom Recovery i Root alati (TWRP, Magisk) Ako bootloader nije zaključan, moguće je instalirati prilagođeni recovery sustav (TWRP) koji omogućuje pristup memoriji i podatcima aplikacija. Rootanje putem Magisk sustava omogućuje učitavanje skripti za dohvat lozinki i aplikacijskih baza. Međutim, root pristup može narušiti prihvatljivost dokaza ako nije pažljivo izveden.

Kada druge metode nisu dostupne, forenzičari se često oslanjaju na komercijalne alate koji koriste vlasničke metode za otključavanje uređaja.

Cellebrite UFED i Premium Alat koji podržava tisuće Android modela, koristi razne metode otključavanja (uključujući fizičke i logičke) bez potrebe za ručnim rootanjem. Podržava dešifriranje aplikacijskih baza poput WhatsAppa.

Magnet AXIOM Alat poznat po detaljnoj aplikacijskoj analizi i mogućnosti rekonstrukcije vremenskih linija korisničke aktivnosti. Pogodan za analizu podataka iz lokalnih kopija i backupa.

Dr.Fone, iMyFone LockWiper, Tenorshare 4uKey Popularni alati u “consumer” sferi koji omogućuju jednostavno otključavanje uređaja. U forenzičkom kontekstu koriste se rijetko zbog mogućeg prepisivanja podataka.

U forenzičkom kontekstu, sama identifikacija ranjivosti i sigurnosnih mehanizama Android uređaja nije dovoljna. Potrebno je operativno poznavanje specijaliziranih alata i metoda kako bi se otključavanje provelo u stvarnim uvjetima, uz poštivanje pravne procedure i očuvanje integriteta dokaza. U nastavku se prikazuju najčešće korišteni alati i njihova uloga u forenzičkoj obradi zaključanih Android uređaja, kao i primjer jednog postupka iz prakse.

Cellebrite UFED (Universal Forensic Extraction Device) jedan je od najpoznatijih profesionalnih alata za ekstrakciju podataka s mobilnih uređaja. Podržava širok raspon Android modela, a često ga koriste službe za provođenje zakona.

Ključne funkcionalnosti:

-Otključavanje uređaja korištenjem softverskih ili fizičkih metoda

-Dohvat podataka iz zaključanih aplikacija (npr. WhatsApp, Telegram)

-Dešifriranje šifriranih baza podataka

-Prikaz vremenske linije korisničkih aktivnosti

UFED koristi vlastite exploite koji omogućuju pristup memoriji bez potrebe za rootanjem, što je ključno za očuvanje forenzičkog integriteta.

           Slika 2. Prikaz Cellebrite UFED uređaja

Magnet AXIOM je forenzički alat koji nudi podršku za širok raspon digitalnih uređaja, uključujući Android. Fokusira se na dubinsku analizu aplikacija i vizualizaciju digitalnih tragova.

Značajke:

- Analiza lokalnih kopija podataka (npr. `.ab` ili `.tar` backup)

- Pregled SQLite baza, XML postavki i logova

- Automatsko prepoznavanje artefakata aplikacija (npr. Telegram, Facebook, Wolt)

- Time-line rekonstrukcija korisničke aktivnosti

Posebna prednost Magnet AXIOM-a je jednostavno sučelje i mogućnost integracije sa Autopsy alatom za dodatnu analizu.

          Slika 3. Magnet AXIOM - sučelje alata za dubinsku
          forenzičku analizu mobilnih, cloud i
          računalnih podataka.

ADB je alat koji dolazi u sklopu Android SDK-a i koristi se za komunikaciju s uređajem putem naredbenog retka. Ako je USB debugging prethodno bio omogućen, ADB omogućuje pristup određenim dijelovima memorije.

Naredbe poput:

adb devices

adb pull /sdcard/filename

adb shell

…omogućuju dohvat korisničkih podataka s nešifriranog dijela memorije.

U slučajevima kada je uređaj rootan ili se koristi prilagođeni recovery, ADB omogućuje i pristup /data/system/ direktoriju gdje se pohranjuju gesture.key ili password.key datoteke koje se mogu dalje analizirati.

                Slika 4. Prikaz tijeka Android Debug Bridge-a
                 

Postoje brojni alati otvorenog koda koji omogućuju forenzičku analizu Android uređaja:

Andriller – Automatizira postupak ekstrakcije i analize podataka, uključujući dekodiranje zaključavanja uzorka.

Frida – Omogućuje dinamičko analiziranje aplikacija u stvarnom vremenu, korisno kod aplikacija koje koriste root detekciju.

APKTool / JADX – Omogućuju dekompilaciju APK datoteka i analizu izvornog koda aplikacije.

Autopsy – Iako primarno alat za desktop forenziku, uz module za Android podržava analizu .tar i .bak sigurnosnih kopija.

Kao primjer praktične primjene, može se navesti slučaj forenzičke analize Xiaomi uređaja na kojem je bila instalirana Wolt aplikacija. Uređaj nije bio rootan, niti je imao omogućeni USB debugging, ali je putem opcije za sigurnosnu kopiju stvorena .bak datoteka koja je potom konvertirana u .tar i analizirana pomoću Autopsy alata.

Dobiveni rezultati uključivali su:

Lokacijske podatke iz address baze

Logove HTTP zahtjeva prema Wolt API-ju

JSON zapis trenutnog sadržaja košarice

Podatke o korisničkoj sesiji i autentifikacijskim tokenima

Ovakav pristup pokazuje kako je moguće, bez fizičkog otključavanja uređaja, prikupiti korisne podatke za daljnju analizu, pod uvjetom da je sigurnosna kopija uređaja dostupna.

         Slika 5. Dijagram postupka forenzičke analize
         Android uređaja, od pristupa uređaju do
         izvlačenja i analize SQLite podataka.

Otključavanje Android uređaja u forenzičke svrhe nije samo tehnički izazov, već i kompleksno pravno i etičko pitanje. Iako forenzičari raspolažu raznim alatima i tehnikama za pristup podacima, primjena takvih metoda mora biti u skladu s važećim zakonodavstvom, pravilima struke i zaštitom temeljnih ljudskih prava.

U većini jurisdikcija, pristup zaključanom mobilnom uređaju zahtijeva sudski nalog. Bez jasne pravne osnove, svaki pokušaj otključavanja može predstavljati narušavanje privatnosti, neovlašteni pristup informacijskom sustavu ili kršenje GDPR uredbe. Čak i kad se uređaj nalazi u posjedu istražitelja, sama fizička prisutnost ne daje automatski pravo na pristup podacima.

Posebno osjetljiva situacija nastaje kada je vlasnik uređaja preminuo ili nije dostupan. U takvim slučajevima, forenzičari se oslanjaju na odobrenja nadležnih institucija i procjenjuju razmjernost, je li otključavanje nužno za istragu i postoji li mogućnost prikupljanja podataka na manje invazivan način.

Moderne verzije Androida uključuju niz zaštitnih mehanizama koji otežavaju neovlašteni pristup:

Enkripcija memorije (FDE/FBE) onemogućuje čitanje sadržaja bez korisničkog ključa.

Verified Boot sprječava pokretanje modificiranih OS slika.

TEE i Secure Enclave čuvaju enkripcijske ključeve i biometrijske podatke u izoliranom prostoru.

Dodatno, mnogi uređaji uključuju funkcije poput brisanja podataka nakon višestrukih neuspjelih pokušaja otključavanja. Forenzičari se tada nalaze pred dilemom: pokušati otključati uređaj i riskirati gubitak podataka ili odustati od pristupa kako bi očuvali potencijalni dokaz.

Bez obzira na zakonske okvire, etička načela nalažu da se osobni podaci korisnika analiziraju samo u opsegu nužnom za ispitivanje. Mobilni uređaji pohranjuju izuzetno osjetljive informacije: poruke, fotografije, lokacije, aplikacijske lozinke, privatne bilješke… - upravo one koje prelaze granice profesionalnog i ulaze u sferu osobnog i intimnog.

Etika forenzičara zahtijeva:

-Poštivanje privatnosti: ne analizirati ili iznositi podatke koji nisu relevantni za istragu.

-Transparentnost rada: vođenje detaljne evidencije svih zahvata nad uređajem.

-Ograničenje pristupa: samo ovlašteni stručnjaci smiju raditi na zaključanom uređaju.

U digitalnoj forenzici svaki neautorizirani ili nepažljivi pristup može kompromitirati dokaz. Zato je važno primijeniti metode koje su forenzički prihvatljive, a to znači da:

-postupci moraju biti ponovljivi i dokumentirani

-alati korišteni za ekstrakciju podataka moraju imati valjanost i reputaciju

-originalni podaci moraju ostati nepromijenjeni (npr. korištenjem write-blockera ili stvaranjem forenzičkih kopija)

Ako postoji sumnja da su dokazi kompromitirani, sud ih može proglasiti ništavnima, što može utjecati na ishod cijele istrage.

Forenzičari su često u poziciji balansiranja između dvije krajnosti: zaštite privatnosti korisnika i potrebe za osiguravanjem pravde. Prekomjerna upotreba alata za otključavanje može narušiti povjerenje javnosti u institucije i izazvati otpor prema tehnologijama za zaštitu podataka. S druge strane, bez pristupa ključnim informacijama, mnogi slučajevi ostaju nerazriješeni.

Iz tog razloga, pristup zaključanim Android uređajima mora biti pažljivo planiran, pravno utemeljen i profesionalno proveden, uz stalnu edukaciju stručnjaka o najnovijim sigurnosnim i etičkim standardima.

Android uređaji čine ključan izvor digitalnih dokaza u brojnim forenzičkim istragama, ali njihovo otključavanje ostaje jedan od najvećih izazova. Ovaj rad prikazao je niz metoda koje se koriste za pristup zaključanim uređajima – od iskorištavanja softverskih ranjivosti, korištenja forenzičkih alata, do fizičkih tehnika poput chip-off i JTAG.

Međutim, nijedna metoda nije univerzalna. Uspjeh ovisi o modelu uređaja, verziji sustava, sigurnosnim postavkama i tehničkim mogućnostima forenzičara. Pristupi poput korištenja ADB-a ili alata kao što su Cellebrite i Magnet AXIOM pokazali su se učinkoviti u mnogim slučajevima, ali često zahtijevaju prethodna dopuštenja ili root pristup.

Važno je naglasiti da pristup mobilnim uređajima mora biti zakonski opravdan i etički odgovoran. Digitalna forenzika nije samo pitanje tehničke izvedbe, već i povjerenja u sustav koji mora štititi privatnost pojedinca dok traži istinu.

Konačno, razvoj metoda otključavanja mora pratiti razvoj Android sigurnosti, uz stalnu edukaciju stručnjaka i usklađivanje sa zakonskim okvirima. Samo tako moguće je očuvati ravnotežu između prava na privatnost i potrebe za učinkovitom istragom.

[1] D. Curry: Android Statistics (2022)

[2] ID. Johnson: How to unlock an Android phone without password

[3] EaseUS: Best Phone Unlocking Software (Wondershare, Tenorshare, iMyFone...)

[4] MakeUseOf: What is USB Debugging Mode on Android?

[5] Tenorshare: Top Android Unlock Software (2024 Review)

[6] Aviv et al.: Smudge Attacks on Smartphone Touch Screens (USENIX WOOT 2010)