Análisis Forense de Dispositivos Móviles

Questions and Answers

¿Cuál es el primer paso en el procedimiento general para la adquisición de un dispositivo móvil, según el contenido?

• Adquirir la tarjeta del operador (Tarjeta SIM). (correct)
• Adquirir la memoria del terminal.
• Adquirir la tarjeta de memoria.
• Intentar explotar vulnerabilidades conocidas.

¿Cuál de las siguientes NO es una característica típica de una tarjeta SIM?

• Contiene datos multimedia como fotos y vídeos. (correct)
• Poca capacidad de almacenamiento de información.
• Puede contener contactos y SMS.
• Permite obtener los códigos ICCID e IMSI.

¿Qué información se puede encontrar en los archivos importantes DF (Telecom) y EF (ADN) en una tarjeta SIM?

• `DF (Telecom)` almacena la agenda, y `EF (ADN)` almacena información relacionada con los servicios de la operadora.
• `DF (Telecom)` contiene la aplicación GSM, y `EF (ADN)` almacena la agenda.
• `DF (Telecom)` contiene la aplicación GSM, y `EF (ADN)` almacena los mensajes SMS.
• `DF (Telecom)` almacena información relacionada con los servicios de la operadora, y `EF (ADN)` almacena la agenda. (correct)

¿Por qué es necesario el PIN o PUK al adquirir una tarjeta SIM?

Para desbloquear la tarjeta SIM y acceder a su contenido. (A)

¿Qué tipo de tarjeta SIM integra el chip directamente en el hardware del dispositivo, eliminando la necesidad de insertar una tarjeta física?

eSIM. (D)

Además de archivos multimedia y APKs, ¿qué otros tipos de información se pueden encontrar comúnmente en las tarjetas de memoria externas de dispositivos móviles?

Cachés o registros de aplicaciones y bases de datos. (C)

¿Qué paso es crucial antes de adquirir la memoria interna de un terminal, dadas las limitaciones de seguridad?

Obtener acceso al terminal (patrón, contraseña, etc.). (C)

¿Cuál de las siguientes opciones de adquisición de memoria interna requiere que el dispositivo tenga acceso privilegiado?

Adquisición mediante ADB. (B)

Si necesitas adquirir directamente la memoria de un terminal, pero careces de conocimientos avanzados en electrónica y microsoldadura, ¿qué opción NO sería recomendable?

Suite de backup del fabricante (C)

Cuando se utiliza la suite de backup del fabricante para la adquisición de un terminal, ¿en qué ubicación se debe buscar la copia de respaldo?

En una ubicación específica que puede variar según la suite de backup. (A)

Para realizar una adquisición lógica elemental de un terminal utilizando las suites de backup de los fabricantes, ¿cuál de los siguientes pasos NO es necesario?

Bloquear la escritura de los puertos USB. (B)

Si estás utilizando Magnet ACQUIRE para adquirir información de un dispositivo, ¿qué condición es necesaria para que la aplicación reconozca el terminal?

El teléfono debe estar desbloqueado y con la depuración por USB activada. (B)

¿Cuál es la principal ventaja de utilizar herramientas específicas como Dr. Fone para la adquisición lógica de un dispositivo iOS?

Se centran en la información generalmente necesaria, simplificando el proceso de adquisición y tratamiento. (B)

Antes de escalar privilegios para realizar la adquisición de la memoria del terminal mediante ADB, ¿qué recomendación se hace para mantener la validez de la evidencia?

Solicitar permiso expreso al juez. (A)

¿Cuál es el primer paso para listar los dispositivos conectados mediante ADB en un procedimiento de adquisición forense?

Ejecutar el comando adb devices. (B)

¿En qué consiste la adquisición mediante Custom Recovery?

En modificar la partición de recuperación del dispositivo e instalar una distribución específica. (C)

¿Qué partición del sistema operativo Android contiene los drivers, el kernel del SO y otros archivos necesarios para el arranque del dispositivo?

boot. (C)

Si solo se ha podido realizar una adquisición lógica en un dispositivo Android, ¿a qué tipo de archivos y carpetas se tendrá acceso?

A un número limitado de archivos multimedia y archivos de configuración. (B)

Al analizar una imagen forense con Autopsy, ¿qué plugin se recomienda seleccionar para facilitar el análisis de un dispositivo Android?

Android Analyzer. (C)

¿Qué tipo de información se puede obtener de la base de datos agent_sim.db generada por Magnet Acquire?

Información de la SIM (IMEI, IMSI, ICCD, nº de teléfono, etc.). (B)

En el contexto del análisis forense de dispositivos móviles, ¿qué datos se pueden encontrar en la base de datos ubicada en Userdata/Root/data/com.android.providers.telephony/databases/mmssms.db?

Mensajes de texto. (D)

En sistemas iOS, ¿qué dos tipos de particiones existen que se encuentran cifradas?

De usuario y de sistema. (D)

¿Qué herramientas se mencionan como útiles para analizar un volcado de un dispositivo iOS?

Dr. Fone y iBackup Viewer. (C)

¿Qué tipo de información almacenan los archivos PLIST en dispositivos iOS?

Información en forma de «clave – valor». (D)

Cuando vamos a realizar la adquisición de un dispositivo móvil el procedimiento a seguir es:

Adquirir primero la tarjeta del operador, luego la tarjeta de memoria y, finalmente, la memoria del terminal (C)

Algunas de las peculiaridades de la tarjeta SIM son:

Contiene poca capacidad de almacenamiento (C)

Para adquirir la tarjeta SIM (no virtual) de un terminal, necesitaremos:

Un lector de tarjetas SIM, un software de adquisición y el código PIN 0 PUK de la tarjeta (D)

En la tarjeta de memoria podemos encontrar:

Archivos multimedia, archivos descargados por el usuario, cachés o registros de aplicaciones (A)

Si disponemos del patrón o contraseña de desbloqueo del terminal ¿Cuál sería la opción más sencilla para realizar su adquisición?

Realizar la adquisición mediante alguna herramienta como Magnet Acquire (A)

¿Podemos realizar la adquisición de un dispositivo IOS mediante ADB?

No, este procedimiento de adquisición solo es válido para Android (B)

¿Qué es un Custom Recovery?

Una distribución específica que sustituye la partición de recuperación del terminal (A)

¿Cuál de los siguientes no se considera un procedimiento avanzado de adquisición?

Magnet Acquire (B)

Podemos utilizar la suite forense Autopsy para realizar el análisis de un dispositivo Android.

Verdadero, ya que dispone de un plugin específico dedicado (A)

Los archivos PLIST:

Almacenan información en forma de «clave – valor» (B)

¿Qué significa el acrónimo JTAG en el contexto de la informática forense móvil?

Joint Test Action Group (B)

¿Cuál es la técnica más invasiva de las tres mencionadas para la adquisición de memoria en informática forense móvil?

Chip-Off (D)

¿Qué tipo de información se puede encontrar en los archivos PLIST que contengan las búsquedas de Safari?

Las últimas búsquedas (B)

¿Cuál de los siguientes archivos no se genera con Magnet Acquire?

system.config (C)

¿Qué archivos no son de interés para los forenses en los dispositivos iOS?

/var/mobile/Library/VPN/User (B)

Flashcards

¿Cuál es el principal problema en la adquisición de datos móviles?

El principal problema al adquirir datos de un dispositivo móvil son las protecciones de seguridad.

¿Es posible evitar la alteración de la evidencia en forense móvil?

En informática forense móvil, la alteración de la evidencia es inevitable durante la adquisición, por lo que es imposible evitar modificar el contenido del dispositivo.

¿Qué información almacenan los archivos DF (Telecom)?

Estos archivos almacenan información relacionada con los servicios que ofrece la operadora.

¿Qué almacenan los archivos EF (ADN)?

Los archivos EF (ADN) almacenan la agenda.

¿Qué almacenan los archivos EF (SMS)?

Los archivos EF (SMS) almacenan los mensajes SMS.

¿Cuál es la función del EF (ICCID)?

Identifica de la tarjeta del circuito integrado.

¿Qué es una eSIM?

Es una evolución de la tarjeta SIM que integra el chip en el hardware del dispositivo, eliminando la necesidad de insertar una tarjeta física.

¿Qué es la partición 'cache' en Android?

Almacena datos temporales necesarios para la actualización del sistema operativo; es opcional si el dispositivo soporta actualizaciones A/B.

¿Qué es la partición 'boot' en Android?

Contiene los drivers, el kernel del SO y otros archivos necesarios para el arranque.

¿Qué es la partición 'data/userdata' en Android?

Contiene las aplicaciones y archivos del usuario, siendo la de mayor interés forense.

¿Qué es la partición 'system' en Android?

Contiene los archivos del sistema operativo instalado.

¿Qué es la partición 'recovery' en Android?

Contiene un mini sistema operativo independiente del principal para iniciar el dispositivo en modo recuperación.

¿Qué es Autopsy en el contexto del análisis forense?

Una herramienta forense que facilita el proceso de análisis de la imagen del dispositivo.

¿Cuál es el contenido del archivo agent_mmssms.db en Android?

Este archivo contiene mensajes de texto y multimedia (MMS).

¿Cuál es el contenido del archivo agent_sim.db en Android?

Este archivo contiene información de la SIM (IMEI, IMSI, ICCD, número de teléfono, etc.).

¿Cuál es el contenido de los archivos contactsX.db en Android?

Estos archivos contienen contactos, incluyendo teléfonos, direcciones e historial de llamadas.

¿Cuál es el contenido de los archivos downloads.db en Android?

Estos archivos contiene archivos descargados por el usuario y la ruta de descarga.

¿Cuál es el contenido del archivo wifi.db en Android?

Este archivo contiene redes Wifi recordadas por el terminal.

¿Qué tipo de información se puede encontrar en iOS?

Es donde se encuentran las copias de seguridad de WhatsApp y archivos de preferencias de las aplicaciones.

¿JTAG qué es?

Es utilizado para acceder a la memoria y realizar un volcado como si fuera una puerta trasera, pero es limitado en velocidad.

¿Direct eMMC qué es?

Es una técnica en la que se permite comunicar con el chip de memoria sin pasar por la CPU, ofreciendo mayor velocidad que JTAG pero requiere grandes habilidades en soldadura.

¿Chip Off qué es?

Es la técnica más destructiva que consiste en la extracción física del chip y su lectura con dispositivos específicos.

¿Que hace el archivo PLIST?

Es un archivo que guarda la información de las aplicaciones.

Study Notes

Análisis Forense de Dispositivos Móviles

• El análisis forense de dispositivos móviles es relevante debido al extendido uso de estos dispositivos.
• En telefonía forense, a diferencia de la informática forense, es imposible realizar la adquisición de un dispositivo móvil sin alterar su contenido.
• Las limitaciones de seguridad y el sistema de bloqueo del terminal son problemas comunes.
• Si no se conoce el patrón de desbloqueo, generalmente no se puede realizar la adquisición.

Adquisición de Dispositivos Móviles

• El procedimiento de adquisición comprende adquirir la tarjeta del operador (SIM), la tarjeta de memoria y la memoria del terminal.
• Si se conoce el patrón, se usan herramientas de adquisición como Magnet Acquire.
• Si no se conoce el patrón, se intenta explotar alguna vulnerabilidad.

La Tarjeta del Operador (SIM)

• Tiene poca capacidad de almacenamiento.
• Puede contener contactos, registro de llamadas o SMS.
• No contiene datos multimedia.
• Permite obtener los códigos ICCID e IMSI.
• A nivel lógico, se estructura de manera similar a un dispositivo de almacenamiento.
• Para adquirir una tarjeta SIM, se necesita un lector, un software de adquisición y el PIN/PUK.
• Interpretar la información de las antenas de telefonía es complejo, por lo que es recomendable solicitarla a la operadora a través de la autoridad judicial.
• Una eSIM integra el chip de la SIM en el hardware del dispositivo.

Tarjeta de Memoria

• No todos los dispositivos móviles hacen uso de tarjetas de memoria.
• Las tarjetas de memoria externas suelen contener archivos multimedia, APKs, descargas, bases de datos, cachés o registros de aplicaciones.
• Para adquirir la tarjeta, se necesita un lector y un software de adquisición.

Dispositivo Móvil

• La adquisición del terminal consiste en adquirir su memoria interna.
• Debido a las limitaciones de seguridad, a veces solo se puede adquirir la parte de la memoria disponible para el usuario.

Métodos de Adquisición de la Memoria Interna del Terminal

• Utilizar la propia suite de backup del fabricante.
• Adquisición mediante Magnet Acquire.
• Adquisición lógica de un dispositivo iOS, utilizando herramientas específicas de forense.
• Adquisición mediante ADB (Android únicamente), si se consigue acceso privilegiado.
• Adquisición mediante Custom Recovery (Android únicamente), si se consigue acceso privilegiado.
• Métodos avanzados de adquisición: Jtag, Direct eMMC y ChipOff.
• Con las adquisiciones mediante ADB o Custom Recovery, en Android, se obtendría más información con acceso privilegiado al terminal.
• Las adquisiciones Jtag, Direct eMMC o ChipOff requieren amplios conocimientos técnicos especializados.

Adquisición con Suite de Backup del Fabricante

• Es el tipo de adquisición más sencillo para acceder a información básica como archivos multimedia o registros de llamadas.

Adquisición con Magnet ACQUIRE

• Requiere que el teléfono esté desbloqueado y con la depuración por USB activada.
• Permite realizar adquisiciones rápidas y completas.

Adquisición Lógica de Dispositivos iOS

• Se realiza con la herramienta de backup de iTunes, Magnet ACQUIRE o Dr. Fone.

• Dr. Fone se centra en la información más necesaria y simplifica el proceso. Es importante tener en cuenta que cada suite de backup almacena la copia de respaldo en una ubicación distinta. Para realizar la adquisición lógica se debe:

• Extraer la tarjeta de almacenamiento y la SIM.

• Poner el teléfono en modo avión.

• No bloquear la escritura de los puertos USB.

• Encender y desbloquear el teléfono.

• Activar el modo de transferencia MTP.

Adquisición Mediante ADB

• Requiere drivers ADB, Android SDK Platform Tools, depuración USB habilitada, ser root y busybox instalado.
• Es muy importante solicitar permiso al juez.

Adquisición con Custom Recovery

• Se basa en modificar la partición de recuperación del dispositivo.
• Es necesario que el bootloader esté desbloqueado.

Métodos Avanzados de Adquisición

• Permiten el acceso a bajo nivel a la información en los chips de memoria.
• Jtag, Direct eMMC y Chip Off son técnicas invasivas que pueden inutilizar el dispositivo.
• Se requiere autorización judicial.

JTAG

• Es un estándar usado para comprobar el funcionamiento de placas de circuito impreso.
• Permite acceder a la memoria pero tiene una velocidad limitada.

Direct eMMC

• Permite la adquisición de memorias sin necesidad de extraerlas.
• Ofrece mayor velocidad que JTAG, pero requiere grandes habilidades de soldadura.

Chip Off

• Es la técnica más destructiva, extrayendo físicamente el chip de memoria.

Análisis Forense de Dispositivos Android

• Android se basa en Linux, por lo que su análisis es similar, pero con aplicaciones y bases de datos específicas.
• Las particiones más relevantes son boot, system, recovery, cache y data/userdata.

Análisis de Imagen Forense con Autopsy

• La imagen forense generada con Magnet Acquire se analiza fácilmente con Autopsy, añadiendo la carpeta "Agent Data". Plugin "Android Analyzer"

Análisis de las Bases de Datos

• Se pueden obtener principalmente los de:
• agent_accounts.db: cuentas del usuario
• agent_mmssms.db: mensajes de texto y mensajes multimedia
• agent_sim.db: SIM (IMEI, IMSI, ICCD, etc.).
• bluetooth.db: dispositivos bluetooth enlazados
• contactsX.db: contactos, teléfonos, etc.
• downloads.db: rutas de descargas.
• wifi.db: redes Wifi.

Análisis Forense de Dispositivos iOS

• Internamente las particiones son diferentes a Android.
• Existen dos particiones cifradas: de usuario y de sistema.
• Las aplicaciones de usuario se ejecutan dentro de una Sandbox.
• La forma más viable de análisis es mediante una copia de seguridad del usuario.
• Las herramientas para analizar un volcado son Dr. Fone y iBackup Viewer.
• Las bases de datos SQLite son muy comunes tanto en Android como en iOS.
• iOS utiliza archivos Plist (de clave - valor), y podemos encontrar información relevante como tokens o contraseñas.
• Para visualizar estos archivos podemos usar: Plist Explorer, PlistEdit Pro o Plist Pad.