Formation Mobile Forensics - Part 2

Transcript

1. 26/03/2021 ERROUSSAFI ELMEHDI – Mars 2021 Formation Forensics Mobile JOUR

   2 Sommaire Agenda de la journée 9h30-11h00 : Securite des appareils mobiles / SS7 / SMS OTP vs Crypto Forte Pause (30 minutes) 11h30-13h15 : LAB : Crack Gesture / PIN + Guide Whatsapp Pause (1h) 14h15-15h45 : Forensics mobile part 2 (suite du cours original concentré)

2. 26/03/2021 Cybersécurité Mobile Quelques Risques et tendances 2020 Fuite de

   données • Les applications mobiles sont souvent la cause de fuites de données involontaires. • Par exemple, les applications «à risque» posent un réel problème pour les utilisateurs mobiles qui leur accordent des autorisations étendues, mais ne vérifient pas toujours la sécurité. • Ce sont généralement des applications gratuites trouvées dans les magasins d'applications officiels qui fonctionnent comme annoncé, mais qui envoient également des données personnelles - et potentiellement d'entreprise - à un serveur distant, où elles sont exploitées par des annonceurs et parfois par des cybercriminels.

3. 26/03/2021 Wifi et Spoofing de réseau (MITM) • L'usurpation de

   réseau se produit lorsque les pirates créent de faux points d'accès - des connexions qui ressemblent à des réseaux Wi-Fi, mais qui sont en fait des pièges - dans des lieux publics à fort trafic tels que les cafés, les bibliothèques et les aéroports. • Les cybercriminels donnent aux points d'accès des noms communs tels que «Free Airport Wi-Fi» ou «Coffeehouse» pour encourager les utilisateurs à se connecter. • Dans certains cas, les attaquants demandent aux utilisateurs de créer un «compte» pour accéder à ces services gratuits, avec un mot de passe Fishing et Smishing • Parce que les appareils mobiles sont toujours allumés, ils sont les premières lignes de la plupart des attaques de phishing. • Selon CSO, les utilisateurs mobiles sont plus vulnérables car ils surveillent souvent leurs e- mails en temps réel, ouvrant et lisant les e-mails lorsqu'ils sont reçus. • Les utilisateurs d'appareils mobiles sont également plus vulnérables car les applications de messagerie affichent moins d'informations pour s'adapter aux plus petites tailles d'écran.

4. 26/03/2021 Spyware/Stalkerware • Dans de nombreux cas, ce ne sont

   pas des logiciels malveillants provenant d'attaquants inconnus dont les utilisateurs devraient s'inquiéter, mais plutôt des logiciels espions installés par des conjoints, des collègues ou des employeurs pour suivre leur localisation et leur activité. • Aussi connus sous le nom de stalkerware, bon nombre de ces applications sont conçus pour être chargées sur l’appareil de la cible sans leur consentement ou leur connaissance. • Une suite complète de détection d'antivirus et de logiciels malveillants doit utiliser des techniques d'analyse spécialisées pour ce type de programme. Cryptographie Faible • Une cryptographie défectueuse peut se produire lorsque les développeurs d'applications utilisent des algorithmes de cryptage faibles ou ne parviennent pas à implémenter correctement un cryptage fort. • Dans le premier cas, les développeurs peuvent utiliser des algorithmes de chiffrement familiers malgré leurs vulnérabilités connues pour accélérer le processus de développement de l'application. • En conséquence, tout attaquant motivé peut exploiter les vulnérabilités pour déchiffrer les mots de passe et y accéder. • Dans le deuxième exemple, les développeurs utilisent des algorithmes hautement sécurisés, mais laissent ouvertes d'autres «portes dérobées» qui limitent leur efficacité.

5. 26/03/2021 Mauvaise Gestion de Session • Pour faciliter l'accès aux

   transactions sur les appareils mobiles, de nombreuses applications utilisent des «jetons», qui permettent aux utilisateurs d'effectuer plusieurs actions sans être obligés de ré-authentifier leur identité. • Comme les mots de passe des utilisateurs, les jetons sont générés par les applications pour identifier et valider les appareils. • Les applications sécurisées génèrent de nouveaux jetons à chaque tentative d'accès, ou «session», et doivent rester confidentielles. • Une gestion de session incorrecte se produit lorsque des applications partagent involontairement des jetons de session, par exemple avec des acteurs malveillants, leur permettant de se faire passer pour des utilisateurs légitimes. Il s'agit souvent du résultat d'une session qui reste ouverte après que l'utilisateur a quitté l'application ou le site Web. Mauvaise Authentification OOB SMS (Out-Of- Band 2FA) • Pour valider les transactions, plusieurs organismes font recours à une authentification « out of band » à travers le SMS OTP (One Time Password) • Ce sms comporte un code que l’utilisateur doit saisir pour valider la transaction sur son application mobile. • Le media de transmission de l’information OTP reste non sécurisé et non maitrisé (voir section SS7). Avec un risque de détournement de cette information. • A la place privilégier des mécanisme de cryptage (clé privé clé publique) (e.g. oneID et autres solutions de verification d’identité numérique). • Faire usage des capabilités biométriques de l’appareil (empreinte, faceID etc.).

6. 26/03/2021 Appareils Mobiles Pratiques pour alimenter la politique de sécurité

   mobile Ecosystème mobile • Il existe une grande variété d'appareils mobiles et les fonctionnalités de sécurité disponibles pour ces appareils varient également largement. • Certains appareils n'offrent que quelques fonctionnalités de base, tandis que d'autres offrent des fonctionnalités sophistiquées similaires à ceux offerts par les PC. • En général, les appareils mobiles sont actuellement confrontés moins de menaces que les PC, mais les menaces contre les appareils mobiles augmentent. • La variété des fonctionnalités de sécurité rend impossible la création de recommandations spécifiques qui s'appliquent à tous les appareils mobiles; par conséquent, les télétravailleurs doivent consulter la documentation fournie par leurs fabricants d'appareils et fournisseurs (par exemple, service cellulaire) et suivez leurs recommandations de sécurité.

7. 26/03/2021 Limiter l’accès à l’appareil • La plupart des appareils

   mobiles permettent au propriétaire de restreindre l'accès en définissant un code PIN ou mot de passe; • Certains prennent également en charge des mécanismes d'authentification plus sophistiqués, tels que la biométrie (par exemple, l'empreinte numérique du propriétaire). • Certains appareils peuvent également être configurés pour se verrouiller automatiquement après une période d'inactivité; une • la personne qui tente d'utiliser l'appareil lorsqu'il est verrouillé doit s'authentifier à nouveau pour le déverrouiller. 20 • PIN et mots de passe doivent être changés périodiquement et chaque fois que les télétravailleurs soupçonnent que quelqu'un d'autre les connaisse. Désactiver les capacités réseau inutiles • De nombreux appareils mobiles offrent plusieurs types de capacités réseau, telles que IEEE 802.11, Bluetooth et NFC. • Les attaquants peuvent essayer d'utiliser ces capacités pour accéder aux informations sur l'appareil • Cela peut être évité en désactivant chaque fonctionnalité de mise en réseau non utilisée et en activer les capacités nécessaires uniquement lorsqu'elles seront utilisées. • Par exemple, si une personne seulement utilise occasionnellement un écouteur Bluetooth avec un smartphone, le télétravailleur pourrait alors activer la capacité Bluetooth du smartphone uniquement lorsqu’il souhaite utiliser l'écouteur • Chaque capacité réseau activée augmente le risque d'attaques réussies, les télétravailleurs doivent donc tenir compte du risque relatif de chaque forme de réseau avant de l'activer (par exemple, l'activation de Bluetooth dans une zone publique bondée est généralement plus risquée que l'activer dans une maison privée)

8. 26/03/2021 Garder l’appareil à jour • La plupart des appareils

   mobiles peuvent être mis à jour ou patchés pour éliminer les failles de sécurité récemment découvertes ou exposées. • Les appareils prenant en charge la mise à jour peuvent le faire directement (par exemple, le télétravailleur sélectionne une option sur le périphérique pour obtenir une mise à jour) ou indirectement (par exemple, le télétravailleur télécharge un correctif sur un PC, puis installe le patch sur l'appareil mobile via un câble de données reliant les deux). • Si un appareil prend en charge la mise à jour, les télétravailleurs doivent suivre les instructions fournies pour s'assurer que les mises à jour de sécurité soient identifiées, acquises et installées régulièrement, au moins une fois par semaine Sécurité dans les applications mobiles • De nombreuses applications sur les appareils mobiles, comme les navigateur web, sont souvent configurés par défaut pour privilégier la fonctionnalité à la sécurité. • En conséquence, les télétravailleurs devraient envisager de désactiver les fonctionnalités d'application inutiles et de configurer les applications pour arrêter ou bloquer toute activité susceptible d'être malveillante. • Par exemple, le navigateur permet d’alerter l’utilisateur sur l’aspect non sécurisé d’un site web visité (certificat incorrect, et ou tentative de fishing). Une fonctionnalité à activer sur le navigateur.

9. 26/03/2021 Installer les applications depuis les magasins officiels et sécurisés

   • Les télétravailleurs doivent être prudents à télécharger et installer des logiciels qui ne sont fournis ni par l'organisation ni par fabricant de l'appareil. • Un exemple est le téléchargement de jeux à partir d'un site Web inconnu. Un tel logiciel pourrait réduire la sécurité de l'appareil si le logiciel n'est pas configuré correctement, ou le logiciel lui-même pourrait contenir des logiciels malveillants susceptibles d'infecter l'appareil. • Le logiciel pourrait également interrompre par inadvertance d'autres applications, y compris les logiciels de sécurité. • Souvent les stores (magasins) non officiels sont le lieu préféré des pirates pour distribuer tout type de malware déguisé sous forme d’application notoire et/ou version payante. Interdire le « jailbreak » ou « root » de l’appareil • La procédure de « jailbreak » ou de « root » de l’appareil est très populaire pour permettre de désactiver les mesures de sécurité de l’opérateur (simlock, network lock ..). • Ceci permet notamment de pouvoir remettre à zéro et libérer un téléphone donné d’une mesure de sécurité (vol de handsets, remise à zero, crack/patch …). • Cela désactive également la sécurité intégrée du fabricant et augmente les capacités de l’utilisateur (passage à droits admin ou root). • Cela rend l'utilisation de l'appareil si risquée que de nombreuses organisations vérifie automatiquement les appareils mobiles qui tentent d'accéder à leurs réseaux et services pour des signes de jailbreaking ou rooting, et ils refusent tout accès à ces appareils.

10. 26/03/2021 Ne pas utiliser des « bornes de charge »

    inconnues • De nombreuses bornes de recharge permettent aux gens de recharger leurs appareils mobiles via des connexions filaires directes entre l'interface USB d'un appareil et la station de charge. • Malheureusement, quelqu'un a peut-être modifié une borne de recharge, dans un espace public, afin qu'il tente d'obtenir automatiquement un accès non autorisé aux données, applications, services et autres ressources sur les appareils mobiles qui s'y rattachent. • De nombreuses attaques modernes se base sur le « faking » des classes USB pour déguiser un transfert de données ou une capture des données. Utilisez un environnement sécurisé par l’organisation • Si un tel environnement est disponible, il est généralement généré et maintenu automatiquement sur les appareils mobiles afin que les télétravailleurs n'aient pas besoin d’agir pour assurer les mesures d’isolement des fichiers et de la zone d’execution. • L'environnement isole les données stockées, les applications et autres fichiers de l'organisation sur l’appareil mobile afin que l'organisation puisse garder le contrôle sur eux sans avoir accès aux informations personnelles, fichiers, etc. du télétravailleur sur le même appareil mobile. • Des solutions entreprises existent pour la gestion des appareils mobiles, sous le titre de « Mobile Device Management » ou MDM.

11. 26/03/2021 Attention au PC utilisé pour synchroniser les données •

    Les télétravailleurs doivent être prudents lorsqu'ils connectent des appareils mobiles à d'autres ordinateurs, tels que pour synchroniser les données entre un smartphone et un PC. • Les logiciels malveillants peuvent être transmis d'un appareil à un autre lors d'une synchronisation. • En outre, une synchronisation peut provoquer par inadvertance des informations sensibles à transférer d'un appareil à un autre, et le deuxième appareil peut ne pas être configuré pour fournir la protection adéquate de ces informations • Avant de connecter un mobile appareil mobile vers un autre ordinateur, les télétravailleurs doivent s'assurer que l'appareil mobile et l'ordinateur auquel il sera attaché ont tous deux été correctement sécurisés Sécurité des télécommunications : Réseau Cellulaire • Les transmissions du réseau cellulaire son brouillées (cryptage A Interface) pour dissuader les écoutes clandestines, donc leur utilisation devrait être acceptable pour le télétravail typique. • Cependant, des attaques de type (Fake BTS) peuvent réussir dans des réseaux mobiles mal sécurisés ou d’anciennes générations (2G). • Pour detecter l’utilisation d’une FakeBTS ou bien d’un IMSI Catcher, des solutions logicielles gratuites peuvent alerter l’utilisateur.

12. 26/03/2021 Sécurité des télécommunications : Voice Over IP • Il

    existe de nombreux services qui offrent un service téléphonique sur Internet. Connu sous le nom de VoIP, les services convertissent la parole en messages Internet et les transmettent à une installation qui s'interface avec le réseau téléphonique. • Du point de vue de la sécurité, ce type de connexion peut être sensible aux écoutes clandestines car il peut être acheminé sur le réseau local et Internet. • En raison du potentiel de vulnérabilités dans un ou plusieurs de ces réseaux, les communications effectuées sur VoIP ne doivent pas considéré comme sécurisé sauf si le cryptage est utilisé. (Secure RTP, Voip Tunnelisé, scrambled voice signal …etc.). ERROUSSAFI ELMEHDI – Mars 2021 Failles des réseaux SS7 Architecture, Fonctions, Vulnérabilités et Sécurisation

13. 26/03/2021 Définitions : Les télécommunications Toutes les techniques servant au

    transfert d’une information. Un Transfert fiable d’information entre deux entités communicantes necessite : • Données traduites (compréhensibles par A et B) • Support de communication (lien) • Adaptation entité/support • une procédure d’échange ( un Protocole = ensemble de règles à suivre pour effectuer un échange d’information) • Techniques : filaires, radio, optiques, satellites, … • Information : symboles, écrits, images fixes ou animées, son,vidéos, ... SS7 : Historique • L'ensemble de protocoles SS7 a été développé par les centre de recherche de AT&T en 1975. • SS7 est défini comme un remplaçant des standards précédents : Signalling System #5 (SS5), Signalling System #6 (SS6) et R2. • SS6 et SS7 utilisent une signalisation en dehors de la bande. Un canal extérieur à la communication est dédié à la signalisation. • Une variante de la pile des protocoles SS7 fonctionnant sur IP a été développée au début des années 2000 : SIGTRAN ; elle est notamment utilisée dans les réseaux mobiles 3G. Dans les réseaux mobiles plus récents (4G) et pour la voix sur IP, la signalisation SS7 a été remplacée par les protocoles SIP (Session Initiation Protocol) et Diameter.

14. 26/03/2021 Signalisation ? • La signalisation consiste est un échange

    des informations nécessaires pour fournir et maintenir les services entre les composants du réseau. • Un exemple de signalisation entre le téléphone d'un utilisateur et le réseau inclut : numéroter, fournir une tonalité d'appel, accéder à une messagerie, envoyer la tonalité d'attente d'appel... • SS7 est un moyen (un protocole) par lequel les éléments du réseau téléphonique échangent des informations. L'information est transportée sous forme de messages. SS7 peut envoyer des informations comme : • Je t'envoie un appel fait depuis Numéro A vers Numéro B. Il est sur le canal voix numéro X • Quelqu'un vient d'appeler le Numéro Y . Je l'envoie vers où ? • Le destinataire de l'appel sur le circuit voix numéro 11 est occupé. Libère l'appel et renvoie une tonalité d'occupation. • La route vers X est surchargée. N'envoyez plus d'appels à moins d'avoir une priorité de 2 ou plus • Je désactive le circuit voix numéro 143 pour maintenance. • Il faut dérouter cet appel parce que l’utilisateur a configuré une boite vocale. Les Réseaux Mobiles (2G/3G/4G)

15. 26/03/2021 SS7 Stack VS TCP/IP and OSI Model SS7 –

    Interfaces et Protocoles (Radio Network) Domain Protocol Interface Network Elements Underlying Protocols GERAN Um MS, BTS Abis BTS, BSC RRC/MAC, ABISPS, ABISCS A BSC, MSC BSSAP Gb BSC, SGSN LLC, BSSGP UTRAN Uu MS, NodeB RRC Iub NodeB, RNC NBAP Iur RNC RNSAP Iu-CS RNC, MSC RANAP Iu-PS RNC, SGSN RANAP

16. 26/03/2021 SS7 – Interfaces et Protocoles (Core Network) Domain Protocol

    Interface Network Elements Underlying Protocols CS A BSC, MSC BSSAP B/C/D/E/F/G HLR, VLR, EIR, SMSC, MSC, GMSC MAP Iu-CS RNC, MSC RANAP PSTN GMSC, MGW, Other PLMNs ISDNL3 Mc MSS, MGW H.248, SCTP, IP Nc MSS ISUP/BICC Nb MGW IP PS Iu-PS RNC, SGSN RANAP, GMM, SM,SMS Gb BSC, SGSN LLC, GMM,SM,SMS Gn SGSN, GGSN GTP Gp SGSN, Other PLMN (SGSN/GGSN) GTP Gr SGSN, HLR MAP SS7 – Interconnect (Roaming)

17. 26/03/2021 SS7 – Interconnect (MVNO) SS7 : Défaillances • En

    2008, plusieurs vulnérabilités SS7 ont été publiées qui permettaient de suivre les utilisateurs de téléphones portables. • En 2014, les médias ont signalé une vulnérabilité de protocole de SS7 grâce à laquelle n'importe qui peut suivre les mouvements des utilisateurs de téléphones portables de pratiquement n'importe où dans le monde avec un taux de réussite d'environ 70%. • En février 2016, 30% du réseau du plus grand opérateur de téléphonie mobile de Norvège, Telenor, est devenu instable en raison de la «signalisation SS7 inhabituelle d'un autre opérateur européen». • En mai 2017, O2 Telefónica, un fournisseur de services mobiles allemand, a confirmé que les vulnérabilités SS7 avaient été exploitées pour contourner l'authentification à deux facteurs afin de réaliser des retraits non autorisés de comptes bancaires. • En mars 2018, une méthode a été publiée pour la détection des vulnérabilités, grâce à l'utilisation de logiciels de surveillance open source tels que Wireshark et Snort. • La nature de SS7 normalement utilisée entre les opérateurs de réseau consentants sur des liaisons dédiées signifie que tout trafic de mauvais acteur peut être retracé jusqu'à sa source.

18. 26/03/2021 SS7 : Security talks Exemple attaque : Interception SMS

    entrant

19. 26/03/2021 Exemple attaque : Interception SMS entrant Sécurisation : Message

    Catégories Categorie 1 Categorie 2 Categorie 3 SendRoutingInfo ProvideRoamingNumbe r RegisterSS SendRoutingInfo for GPRS ProvideSubscriberInfo ActivateSS / SendRoutingInfo for LCS ProvideSubscriberLocat ion DeactivateSS SendIMSI CancelLocation RegisterPassword AnyTimeInterrogation InsertSubscriberData ProcessUnstructuredSS AnyTimeSubscriberInterrogatio n DeleteSubscriberData BeginSubscriberActivity (USSDv1) FailureReport RemoteUserFree PurgeMS AnyTimeModification Reset UnstructuredSSNotify ReportSMDeliveryStatus SendIdentification UnstructuredSSRequest RestoreData SendParameters (Note 2)[1] InformServiceCentre InterrogateSS ResumeCallHandling AlertServiceCentre SsInvocationNotify CheckIMEI ForwardSM (MO) [2] NoteSubscriberDataModified UpdateLocation SubscriberLocationReport UpdateGPRSLocation Unknown Opcode SendAuthenticationInfo SendParameters SendRoutingInfo for SM MT-ForwardSM ForwardSM

20. 26/03/2021 Sécurisation : Utilisation du Firewall SS7 Sécurisation : Utilisation

    du Firewall SS7

21. 26/03/2021 PAUSE LAB Décoder les fichiers cryptés de lock Android

22. 26/03/2021 PAUSE Ecosystème Android Complexité et Fragmentation

23. 26/03/2021 Introduction Sur l’acquisition de données sur Android Dans les

    sections suivantes, nous discuterons des options disponibles pour acquérir des informations depuis les appareils Android, ainsi que pour extraire les données associées des serveurs Google. • Fragmentation de la plate-forme Android et pourquoi c'est important • AOSP et GMS démystifiés • Acquisition logique via la sauvegarde ADB • Gérer l'espace non alloué • Vue d'ensemble des méthodes d'acquisition avancées Diversité Android • Vous êtes-vous déjà demandé pourquoi votre smartphone Android n'obtient pas la dernière version d'Android? • Ou pourquoi certaines applications ne sont disponibles que pour iPhone? • Pourquoi votre appareil Android a-t-il été infecté par des programmes malveillants alors que d'autres ne l'étaient pas? • En effet, les opérateurs, les fabricants de téléphones et les développeurs d'applications doivent effectuer chaque mise à jour Android, y compris les mises à jour de sécurité, ainsi que chaque application compatible et optimisée pour chaque appareil Android. Et cela prend beaucoup de temps et de ressources.

24. 26/03/2021 Fragmentation Android OpenSignal, une entreprise qui cartographie les signaux

    des opérateurs sans fil, nous aide à visualiser le nombre d'appareils Android différents dans le monde grâce à leur graphique pratique Fragmentation Android • C'est vrai, chaque carré est un modèle différent d'appareil Android. Malheureusement, ça ne va pas mieux. • Selon le rapport OpenSignal, la fragmentation d'Android a doublé depuis 2013. • L'un des principaux composants à l'origine de la fragmentation est la taille de l'écran. • Cela est particulièrement fastidieux pour les développeurs d'applications, qui doivent optimiser leurs applications pour les innombrables variétés de tailles d'écran des appareils Android afin qu'elles paraissent uniformes sur tous les appareils.

25. 26/03/2021 Fragmentation Android Les spécifications matérielles démontrent des variations sauvages

    dans la taille, la résolution et l'affichage de l'écran ratio, CPU, SoC et même les architectures (ARMv7, ARMv8 et Intel x86 / x64 sont parmi les plates- formes Android les plus populaires). Les appareils Android varient également dans la version du système d'exploitation principal et API disponibles. Comparez cela à l'iOS d'Apple: Les appareils Android sont livrés avec de nombreuses versions d'Android et de nombreux niveaux d'API disponibles à tout moment. Aux fins de la criminalistique mobile, cela signifie qu'il faut soit se familiariser avec les spécificités d'acquisition et de protection de toutes les versions d'Android, soit revenir à l'utilisation d'un produit d'acquisition Android dédié. AOSP et GMS Android et Google ne sont pas synonymes. Le système d'exploitation Android de base est développé et maintenu par Google et publié en open source via Android Open Source Project (AOSP).

26. 26/03/2021 AOSP • AOSP Android est disponible gratuitement pour tout

    le monde • sans contrat à signer et sans restrictions sur la façon dont les fabricants peuvent l'utiliser et le modifier. • Les fabricants ont la capacité (à la fois technique et juridique) de créer des fourches (forks), qui sont des versions fortement modifiées d'Android qui peuvent ou non être compatibles avec toutes les applications Android. Une plateforme libre à disposition des équipementiers AOSP • AOSP Android n'inclut aucun service Google propriétaire (nous en reparlerons plus tard). • La majorité des smartphones chinois vendus en Chine continentale sont basés sur AOSP Android, tandis que certains utilisent des versions personnalisées du système d'exploitation (par exemple, Xiaomi MIUI ou Meizu FlyMe). Une plateforme libre à disposition des équipementiers

27. 26/03/2021 GMS • Ce qui rend les appareils Android si

    populaires dans l'hémisphère occidental, c'est l'écosystème fourni par Google. • Google Play Store offre un accès à des millions de jeux et d'applications. • Google Maps propose des services de cartographie pratiques avec navigation gratuite et trafic en direct. • Gmail (Google mail), Google Drive, Google Photos, Google Keep (notes), Google Chrome (navigateur) et bien d'autres choses, Google constitue un écosystème à source fermée fonctionnant sous l'égide de Google Mobile Services (GMS). La touche de Google le géant d’internet GMS • Les services mobiles Google sont inclus avec pratiquement tous les smartphones Android vendus dans l'hémisphère occidental. Google utilise ses services pour collecter de grandes quantités d'informations à partir d'appareils compatibles GMS. Rapports de position, détails du compte Google, notes, recherche et • l'historique de navigation, les formulaires et mots de passe stockés, les données d'application synchronisées et de nombreuses autres informations sont automatiquement transmises aux services Google par des appareils compatibles GMS. Give me all your data

28. 26/03/2021 GMS • Les services Google Play aident à surmonter

    la fragmentation de la plate-forme en fournissant des mises à jour en arrière-plan en temps opportun aux utilisateurs de toutes les versions d'Android depuis la version 2.3 Gingerbread. OTA Updates Acquisition Logique Utilisation d’outils pour acquérir les données Android

29. 26/03/2021 Utilisation de ADB Backup à travers le debugging •

    Le système d'exploitation Android pur offre une prise en charge limitée des sauvegardes hors ligne via ADB. Google a implémenté la fonctionnalité de sauvegarde ADB dans Android 4.0 Ice Cream Sandwich. La fonctionnalité de sauvegarde ADB permet aux examinateurs d'extraire les données d'application sur un PC local via ADB. • Ce processus ne nécessite pas de racine et fonctionne sans récupérations personnalisées ni déverrouillage du chargeur de démarrage; cependant, il extrait une quantité très limitée d'informations et ne doit être utilisé qu'en dernier recours. • De plus, l'utilisation de la sauvegarde ADB nécessite d'avoir le téléphone déverrouillé et l'option de débogage ADB activée. Utilisation de ADB Backup à travers le debugging La commande suivante doit produire une sauvegarde complète de l'appareil, avec tous les fichiers APK, y compris les applications système et le contenu du stockage partagé (/ sdcard): adb backup ‐apk ‐shared ‐system ‐all ‐f C:\fullpath\backup.ab

30. 26/03/2021 Utilisation de ADB Backup à travers le debugging Utilisation

    d’outil commerciaux Oxygen Forensics Bien qu'il soit possible d'effectuer l'acquisition logique d'un appareil Android sans utiliser d'outils d'analyse légale mobile spécifiques en utilisant les pilotes spécifiques au fabricant et Android Debug Bridge (ADB), vous pouvez utiliser un outil d'analyse légale mobile commercial si vous en possédez déjà un. Par exemple, voici comment effectuer l'acquisition logique d'un appareil Android avec Oxygen Forensic Suite.

31. 26/03/2021 Utilisation d’outil Fournis avec le tel OEM Software •

    Certains fabricants proposent des logiciels complémentaires pour permettre la communication entre le téléphone et le PC. • L'exemple le plus courant est Apple iTunes, qui est couramment utilisé par les experts légistes lors de l'acquisition logique. • Par exemple, SONY PC Companion fournit des fonctionnalités de sauvegarde et de restauration complètes pour les appareils Xperia sans avoir besoin de rooter ou de déverrouiller le chargeur de démarrage. • Bien que l'utilisation de SONY PC Companion oblige l'utilisateur à déverrouiller l'appareil avec la bonne méthode (code PIN, modèle, etc.), nous avons vu des preuves de contournement de telles mesures de verrouillage. Utilisation de l’outil AFLogical AFLogical OSE: Open source Android Forensics app and framework • AFLogical est une application android qui permet avec des accès utilisateur simples de collecter des données utilisateurs avec l’interaction « intents ». • Très pratique pour pouvoir récupérer les données sous formes ordonnées. • Disponible en téléchargement sur github • Disponible sur certaines distributions linux • Santoku linux à titre d’exemple

32. 26/03/2021 Données Supprimées Qu’est ce qui arrive aux données supprimés

    sur Android ? Données Supprimées • Qu'arrive-t-il aux informations que l'utilisateur tente de détruire? Les preuves supprimées peuvent encore être récupérées, du moins dans les smartphones Android. • Rarement cryptés, les appareils Android sont sensibles à diverses techniques d'acquisition, dont beaucoup permettent d'accéder aux données supprimées. • Voyons comment Android supprime les informations et ce qui peut être fait pour récupérer les données supprimées.

33. 26/03/2021 Espace non alloué (Unallocated Space) • Sous Android, l'espace

    non alloué peut généralement être extrait avec le système de fichiers (ce qui n'est pas le cas avec les appareils Apple en raison du cryptage complet du disque iOS). • Cependant, il est important de réaliser que les appareils Android utilisent la prise en charge de la coupe, effaçant le contenu de l'espace disque non alloué à chaque fois que l'appareil est arrêté. • C'est l'une des raisons pour lesquelles les techniques d'acquisition standard ne recommandent pas d'éteindre le téléphone à tout moment; au lieu de cela, ils conseillent de mettre l'appareil sur un chargeur et de le placer dans un sac Faraday. • Alors, qu'arrive-t-il à l'espace non alloué (ou libéré) à l'intérieur d'un téléphone Android? eMMC • Depuis 2011, la plupart des smartphones Android utilisent des puces flash eMMC pour le stockage non volatile. • Contrairement aux puces flash simples, le stockage eMMC intègre la mémoire flash et le contrôleur sur une seule puce implantée dans la carte principale du téléphone. • Le contrôleur intégré est responsable des opérations spécifiques au flash pour maintenir l'intégrité des données tout en garantissant les performances et la durée de vie optimales des cellules NAND. • Le contrôleur effectue, entre autres, des opérations telles que le découpage des blocs de données inutilisés, le remappage d'adresses logiques sur des puces physiques. • Le responsable du traitement est également responsable de l'effacement sécurisé des données sur demande.

34. 26/03/2021 Gestion des Blocks • En interne, le contrôleur intégré

    est chargé d'établir un lien entre l'espace de stockage adressable (logique) et les blocs physiques dans la puce flash. • En d'autres termes, chaque bloc logique est mappé sur un bloc physique correspondant par le contrôleur eMMC. • L'inverse, cependant, n'est pas vrai - nous ne pouvons pas dire que chaque bloc physique a un bloc logique adressable correspondant assigné. • Les puces eMMC ont une capacité de stockage réelle supérieure à ce qu'elles annoncent au monde extérieur. • Les blocs de données physiques supplémentaires ne sont donc pas adressables tant qu'ils ne sont pas mis en service par le contrôleur eMMC intégré. • Cette fonctionnalité est appelée surprovisionnement. Les blocs de données surapprovisionnés n'ont pas d'adresses logiques. • Tous les secteurs défectueux (blocs de données instables ou illisibles) seront définitivement placés dans la zone surapprovisionnée. Ils ne recevront jamais d'adresse logique ni ne seront visibles par le système d'exploitation, ni rien du tout, à l'exception du contrôleur eMMC intégré. Wear Leveling • La mémoire flash présente plusieurs qualités propres à ce type de stockage. (rapidité, consommation ..) • Les puces flash NAND ont une durée de vie limitée en ne prenant en charge qu'un nombre fini de cycles d'écriture-effacement. • Après avoir atteint la fin de sa durée de vie effective, la puce flash peut continuer à fonctionner, mais la période de conservation des données peut être gravement affectée (les données seront corrompues ou disparaîtront complètement après la mise hors tension du stockage flash pendant un certain temps). • Par conséquent, le contrôleur eMMC intégré tentera de répartir uniformément les cycles d'écriture entre les blocs de données disponibles. • C'est ce qu'on appelle le nivellement de l'usure.

35. 26/03/2021 Trimming (purge) • Une autre qualité propre au stockage

    flash est la manière dont ils écrivent les informations. • Les blocs doivent être effacés avant de pouvoir être écrits. • L'effacement d'une cellule flash endommagée prend beaucoup plus de temps que l'écriture dans un bloc déjà vide. • Afin de contourner ce problème, le contrôleur eMMC effectuera une récupération de place en arrière-plan en réduisant (effaçant) les blocs libérés lorsque le contrôleur est inactif. • Afin de rendre une certaine adresse logique immédiatement inscriptible après la suppression de son contenu (et le bloc a été annoncé comme disponible, mais pas encore effacé), le contrôleur peut effectuer un remappage d'adresse en pointant ce bloc logique vers une cellule physique déjà vide. • Contrairement à l'effacement, le remappage se produit instantanément, rendant le bloc qui contenait des données supprimées inscriptible sans l'attente associée à l'effacement de son contenu. Alors ou va la DATA Supprimée ? • Alors qu'arrive-t-il aux informations stockées dans les blocs libérés par le système d'exploitation? • Le système d'exploitation Android (selon la version) transmettra une commande trim au contrôleur eMMC, lui indiquant qu'un certain bloc logique n'est plus utilisé. • Le contrôleur attribue un statut spécial de ne pas se soucier du bloc physique correspondant à cette adresse logique, ajoutant le bloc physique à la liste à effacer et remappant l'adresse logique à un bloc physique propre (soit à partir d'un espace d'adressage existant, soit à partir du zone surapprovisionnée).

36. 26/03/2021 Alors ou va la DATA Supprimée ? • Le

    contrôleur peut décider ou non de pousser un bloc physique nouvellement libéré hors de l'espace adressable et dans la zone surapprovisionnée. • En conséquence, le contenu d'un bloc logique supprimé peut rester disponible dans l'espace adressable pendant un certain temps. • Ce phénomène permet aux solutions de forensics de récupérer des informations dans des zones non allouées et notemment des fichiers supprimés. Acquisition JTAG • JTAG forensics est une procédure d'acquisition avancée qui utilise des ports d'accès de test (TAP) normalisés par l'association Joint Test Action Group (JTAG). • Ces ports, entre autres, peuvent être utilisés pour accéder aux données brutes stockées dans l'appareil connecté. • Le processus d'acquisition implique l'utilisation de points de soudure existants sur la carte de circuit imprimé de l'appareil. • En utilisant un équipement spécialisé et un câble JTAG spécifique à l'appareil correspondant, il est possible de récupérer l'intégralité du contenu de la mémoire flash (moins la zone de surapprovisionnement eMMC, mais y compris l'espace non alloué adressable) à partir d'appareils compatibles. • Notamment, l'acquisition JTAG est souvent disponible même pour les appareils verrouillés, endommagés ou autrement inaccessibles. • L'acquisition JTAG est disponible pour de nombreux appareils Android.

37. 26/03/2021 Live Imaging • Tout d'abord, que signifie «imager» un

    élément de stockage numérique? • Une «image numérique», ou simplement une «image», est une réplique numérique de… quelque chose. • Ce quelque chose peut être un disque dur, une partition, un téléphone ou une tablette, de la RAM ou plus. Produire une image d’un disque dûr • Faire une image d’un disque dur est un processus simple. • Nous pouvons facilement créer une image numérique d'un lecteur entier. Cette image sera un fichier unique (ou une collection de fichiers) qui est une représentation bit à bit du disque dur physique. • C'est le début à la fin du lecteur dans un fichier, y compris tout l'espace supprimé. • Le lecteur peut être mis en image derrière un «bloqueur d'écriture», qui empêche les écritures sur le lecteur. Cela nous permet de créer une image du disque sans risquer d'écrire quelque chose par inadvertance. • Nous pouvons également calculer un hachage mathématique (CRC,MD5 ..) à la fois sur le lecteur d'origine et sur l'image créée pour nous assurer que nous avons une image 100% authentique du lecteur.

38. 26/03/2021 Produire une image de la mémoire du mobile L'imagerie

    d'un appareil Android n'est pas ausssi simple. Il y a quelques différences : • Un lecteur est un stockage. Pas un système informatique complet, juste du stockage. • Il n'a pas de système d'exploitation lui donnant des commandes de lecture et d'écriture s'il n'est pas connecté à un ordinateur. • Même si le lecteur stocke un système d'exploitation, il ne peut pas exécuter le système d'exploitation sans être connecté à un ordinateur. • Si un ordinateur demande au lecteur d'exporter un fichier ou une image du lecteur entier, il exécute simplement la commande. un téléphone (ou une tablette) est un système complet qui comprend le stockage. Si nous voulons créer une image d'un téléphone comme nous le faisons avec un disque dur, nous devons ouvrir le téléphone et retirer la puce qui contient tout le stockage et la connecter à un système hautement spécialisé pour effectuer l'extraction, au risque d'endommager le données et à grands dommages à nos portefeuilles car il s'agit d'un processus qui nécessite un spécialiste. • Au lieu de cela, nous connectons le téléphone à un ordinateur et le traitons comme un ordinateur et lui émettons des commandes d'image. Produire une image de la mémoire du mobile Autre différence : • On peut connecter un bloqueur d'écriture entre un ordinateur et un disque dur. • Comme indiqué précédemment, un disque dur n'est que du stockage. il n'y a pas de bloqueur d'écriture pour se connecter à un téléphone. • Nous pouvons émettre des commandes vers un téléphone à partir d'un ordinateur via un câble USB (et vous pouvez y connecter un bloqueur d'écriture si vous le souhaitez vraiment mais ce n'est ni nécessaire ni souhaitable dans la plupart des cas). • Cependant, le téléphone lui-même peut et émet toujours des commandes de lecture et d'écriture sur sa mémoire interne. Nous ne pouvons pas bloquer ces écritures.

39. 26/03/2021 Produire une image de la mémoire du mobile Et

    enfin : • Lorsqu'un lecteur est connecté à un ordinateur via un bloqueur d'écriture, aucun bit sur le lecteur ne change. • Cela nous permet de calculer un hachage pour nous assurer que nous avons une image authentique du lecteur. • un téléphone est un système complet. Il émet constamment ces commandes d'écriture. L'état de la mémoire du téléphone change pendant le processus d'imagerie, car le téléphone enregistre constamment. Prérequis d’une image réussie et propre 1. Une connexion entre notre ordinateur et le téléphone. Nous utiliserons l'environnement Linux et nous nous connecterons via USB. 2. Un exploit au téléphone. Le téléphone est un appareil basé sur Linux qui a une sécurité basée sur Linux, et une mesure de sécurité nous interdit de simplement vider le stockage du téléphone. Nous avons besoin d'une sorte d'exploit de sécurité qui nous permet un accès root à l'appareil. Cet exploit peut être un exploit en direct où nous obtenons un accès root au périphérique pendant qu'il est démarré, ou il peut être un exploit «mort» où le téléphone est démarré dans un mode complètement différent et nous avons un accès root. 3. Une commande pour créer et récupérer l'image. Nous devons être en mesure d'exécuter une commande en tant que root qui image le périphérique et transmet l'image un bit à la fois à travers le câble USB à notre ordinateur où nous la stockons dans un emplacement défini.