31. Januar 2013 · Kommentare deaktiviert für Android-Forensik – Android-Systeme untersuchen und Angriffe erkennen · Kategorien: Android-Forensik · Tags: , , ,

2012 erreichten Smartphones mit dem Open-Souce Betriebssystem Andriod einen Marktanteil von etwa 75 %. Im Google-Play-Store werden mittlerweile mehr als 700.000 Apps angeboten. Die weite Verbreitung dieses Betriebssystems und vor allem das Open-Source-Konzept machen Android-Systeme natürlich zu einem idealen Ziel für Angeifer. Und so nimmt auch die damit erforderliche forensische Auswertung dieser Systeme (Andriod-Forensik) einen großen Teil der Ermittlungsarbeit und der Sachverständigen-Tätigkeit ein.

Die Anzahl schädlicher Software (Apps) für Andriod-Systeme nimmt rasant zu, letztlich auch aufgrund der Tatsache, dass diese Apps auch außerhalb des Google-Stores bezogen werden können. Mit Updates nehmen es die Hersteller der Apps häufig auch nicht so genau, vor allem nicht, wenn es um das Thema Sicherheit geht. So ist von Kaspersky zu erfahren, dass in den letzten Monaten fast 30.000 neue Schädlinge entdeckt wurden.

Im Zuge der Beweismittelsicherung im Falle eines Angriffs oder sonstiger Vorfälle ist die Dokumentation sämlicher durchgeführter Schritte (möglichst nach 4-Augenprinzip) erforderlich, um eine entsprechende juristische Grundlage zu schaffen. Neben die Beseitigung des Sicherheits-Vorfalls tritt die Sicherung sämtlicher Prozesse und Daten eines Smartphones, hier mit Andriod-Betriebssystem (im Falle von iOS verhält es sich ähnlich).

Im Falle eines Android-Systems kann die forensische Beweismittelsicherung mittles verschiedendster Methoden erfolgen: Mit Open-Source-Werkzeugen (wie Google „Andriod Developer Bridge„, ausgeliefert mit dem Andriod SDK), mit kommerzieller Software (Oxygen, auch Encase V7), in seltenen Fällen auch Bordmitteln des Betriebssystems selbst. Das Ziel muss auf jeden Fall darin bestehen, so präzise wie möglich den aktuellen Zustand des Gerätes festzuhalten, um die Daten später einer vom Gerät unabhängigen umfassenden Analyse zu unterziehen. Dies ist ohnehin State-of-the-Art einer jeden ernstzunehmenden Digitalen-Forensik.

Wir selbst setzten auch und gerade im Rahem der Andriod-Forensik überwiegend den bereits vorgestellten UFED Touch (mit Physical-Analyser) von Cellebrite ein. Das ist zwar die kostspieligste, dafür allerdings schnellste, einfachste und sicherste Methode, die extrahierten Daten aus einem Andriod (oder auch anderen) System zu untersuchen. Der Physikal-Analyser enthält z.B. mittlerweile einen eigenständigen Malware-Scanner, mit dem die Images (forensischen Duplikate) hinsichtlich Schadcode analysiert werden können. Nur in seltenen Fällen setzen wir auch auf andere Methoden, z.B. Encase V7 oder Andriod Developer Bridge.

Wir werden in Zukunft immer wieder Arikel zu Them Android-Forensk veröffentlichen, um das Thema der noch jungen Disziplin der Mobilen IT-Forensik zu bereichern. Natürlich lassen wir Betriebssysteme wie Appels iOS nicht außen vor. Auch das Thema Mobile-Security wird uns dabei immer wieder beschäftigen. Und das sollten auch Sie tun, um nicht Opfer einer der immer häufiger vorkommden Angriffe zu werden! Und wenn Sie es einmal doch geworden sind, wissen Sie ja spätenstes jetzt, an wen Sie sich vertrauensvoll wenden können.

Kommentare geschlossen.