英语原文共 8 页,剩余内容已隐藏,支付完成后下载完整资料
安卓社交应用的网络和设备取证分析
Daniel Walnycky , Ibrahim Baggili , Andrew Marrington , Jason Moore ,Frank Breitinger
摘要
在本次研究中,我们依法获取并分析了20种流行的安卓即时通讯应用设备中存储的数据和网络流量。我们可以从这20种被测试的应用中取出16个虽然在安全和隐私方面表现不佳,但是被数字取证人员认为是能对证据收集起到积极作用的应用来重新构造一些或者整个信息内容。这项研究表明,这些即时通讯应用所具备的特点会留下允许可疑数据重构或者部分重构的证据痕迹,并且不论网络和设备取证是否允许重建活动的进行。我们发现,在大多数情况下,我们能够重构或者拦截数据,例如,密码、通过程序去截图、图片、视频、发送的音频和信息、草图、个人图片和更多其他东西。
关键词:网络取证、安卓取证、即时通讯、信息应用的隐私、应用安全测试
绪论
智能手机即时通讯应用中的数字证据可能在许多类型的刑事调查和法庭诉讼中是有用的。近年来,短信已经成为了许多重大案件证据的重要的组成部分,例如阿什比起诉澳大利亚联邦和奥斯卡·皮斯托瑞斯被公诉等案件。在后一个案件中,相关的信息没有通过短消息服务(SMS,Short Message Service),而是通过一款名为WhatsApp的即时通讯应用发送出去的。像WhatsApp这样用于传递文本信息的应用,为用户提供免费或非常低成本的服务替代短信,并且经常提供其他的附加功能。所以,不足为奇的是这样的即时通讯应用已经变得非常受欢迎,因此,预料到越来越多的案件将会通过这些应用发送涉案信息是十分合理的。
在这项工作中,我们针对20种安卓手机操作系统上的社交应用,做了一个实验性的取证分析。被测试应用的用户的数量总和超过了10亿。我们的研究表明从移动设备中获取数字证据,传输和存储在服务器上的数据是很有潜在价值的。
本文的其余工作安排如下。在“相关工作”一节,我们讨论数字取证和安全文学的相关工作。在“方法论”部分,我们说明了研究方法和实验步骤。在“实验结果”一节,我们对“探讨”一节中提出的内容提供了一个对于我们结果的概述。我们在“未来的工作”一节中建议了未来的工作内容,并且在总结部分中进行了总结。
相关工作
智能手机通常比其他像电脑这样的潜在数字证据的来源,更加接近于他们的所有者。这提高了在智能手机中提取的数字证据的潜在价值,因为犯罪嫌疑人可能会整天不断的使用它们,并且可能会使用它到犯罪现场。除了发现嫌疑人的通信痕迹,一个嫌疑人的手机可能会包含有关他们位置的证据,而且随着智能手机的出现,他们可能包含同样丰富的、可能在计算机系统发现的数字证据(莱萨德amp;凯斯勒,2010)。手机和手机上的应用程序可能会卷入到大量的犯罪案例之中,包括欺诈,盗窃,洗钱,盗版和儿童色情图片,甚至在网络犯罪案件中散布恶意软件(泰勒等,1012)。甚至在智能手机出现之前,存放在GSM SIM卡中的短信都是取证人员的重要取证目标。伴随着智能手机,提供通讯的手机应用可能会补充或者甚至取代短信,这就意味着可能会在手机上有许多信息库供调查人检索。新的智能手机大部分都是使用的安卓系统。自从2009年来,文献中有许多方法去获得安卓设备中的二级存储,包括逻辑和物理采集,以及一些需要更多潜力的,在测试中比其他优良的安卓信息采集技术。
一般而言,逻辑采集可以通过各种备份工具在安卓设备上实施,并且不需要修改设备和它的系统软件。在另一方面,文献中描述的物理采集技术,通常需要安装一个rootkit(修改设备的系统分区)为了方便获得设备的二级存储所有访问权限,可以使用像在莱萨德和凯斯勒案件中的使用过的类似dd这样的工具。
由于这些恶意软件通常来历不明(事实上,他们最容易来自黑客社区),并且由于任何对测试下的设备的修改,在不能完全避免的条件下应该最小化,威达士等人提出了:Android恢复分区可能会更安全地覆盖一个已知的安全鉴定启动环境促进剩余分区的物理采集。通过这样的做法,系统分区就不会被恶意软件修改,但是通过重启设备到一个修改的模式并使用执行物理采集的必要软件,我们会获得设备的全部访问权限。这就类似引导光盘可能会被使用去促进计算机系统上取证。
从完整的角度来看,物理采集一般优于逻辑采集的,因为一个物理图像将会包含任何存在与未分配空间里的数据,例如那些被已经被删除了但是还没有被覆盖的文件。尽管如此,逻辑采集仍然可以产生获得大量重要的数据证据,并且仍然在许多文献中被研究。
流行的即时通讯或者社交网络平台上的移动应用已经成为了,在数字取证文学方面大量研究的主题。早期在智能手机上的即时通讯应用方面的工作,例如侯赛因和斯里达尔对iPhone研究,检查最初通过单独的应用或者通过网络在个人电脑上发布的平台。电脑取证技术在文献中被描述为从美国在线,雅虎!信使检查文物,其他安装的即时通信应用,即时通讯应用的网页客户端和社交网占如FaceBook。
作为这些从个人电脑世界,通过自己的移动应用迁移到智能手机上的即时通讯平台,所以这样手机设备上的应用会留下继续调查活动取证的痕迹。除了这些从个人电脑输入,即时通讯和社交网络应用程序主要是为智能手机开发的。
一个移动信息应用的例子就是WhatsApp,安哥拉在最近的工作中分析了WhatsApp在安卓设备上的软件仿真,通过WhatsApp给取证鉴定人员提供了关于什么数据被存储在安卓设备中的信息,促进了联系人列表和文本会话的重建(安哥拉,2014)。在这项工作中被检查的大多数应用程序陷入了跟WhatsApp相同的类型,他们首先是智能手机应用,而不是个人电脑转向安卓的。
鉴于智能手机的流行,它们成为网络攻击的目标不是令人惊讶的。智能手机恶意软件越来越被关注,并且移动应用程序的绝对数量带来了大量的潜在攻击向量。例如,Damopoulos等人针对iPhone拴住的特性(也可称为个人热点)开发了DNS中毒的恶意软件,并且在用户使用Sin服务的时候暴露用户重要的信息(如位置和账户凭据)。在他们对安卓应用通信中心工作中和随之而来的攻击漏洞,Chin等人发现1414个在前50个付费和前50个免费应用,能在安卓市场上面获得的应用的漏洞。
即时通讯的智能手机应用也不例外,正如Schrittwieser等研究了安卓和苹果手机上9款流行的即时通信应用的人所展示,他们发现了漏洞帐户劫持,欺骗,未经请求短信,枚举或其他攻击所有人。特别是考虑到智能手机包含了这么多的个人信息,很显然,这些对用户的隐私安全构成了严重的威胁。
很显然,虽然这些安全漏洞可能会帮助数字取证社区从这些设备中恢复更多的数字证据,但是这些漏洞被恶意代理开发的潜力将会导致针对移动设备更高的网络犯罪事件。我们的工作补充了现有的文献,采取网络取证和设备取证方式提供了对可能会从安卓即时通信得到什么样的证据的更加全面的视图。我们的工作也揭示了出现在被测试的安全性的应用的,潜在的隐私问题。
方法论
我们依据两个事实:关键字和大量的下载量,从谷歌Play商店中选取了20个即时通讯/社交应用。我们搜索谷歌市场去选择这20个应用程序时所用到关键字有:“聊天”,“聊天室”,“约会”,“交友”,“信息”,“消息”。在这些搜索结果中,我们想要在流行范围的基础之上挑选出一个应用范围广的。被选定的应用是从50万到2亿下载量的。我们也要注意的是,我们关注的这些应用的部分是在一对一通信方面。例如,我们只研究“Instagram(运行在iPhone平台上的应用程序)的直接特征”而不是“Instagram的传输特点”。另一个例子是,我们只研究Snapchat中的直接消息,而不是“Snapchat故事”。
当我们发送信息和使用这些应用的大量特点的同时,我们执行网络取证去检查网络流量在设备中的来去。这项测试是在一个可控的实验室环境中进行的,以减少由于智能手机设备经常操作在一个变化中的网络边界而导致的网络变化。我们还进行了一个安卓设备本身的取证检测,使用每一个应用从设备中检索有关我们活动的信息。表5显示了被测试应用的列表和它们的版本号和支持的功能。这些测试的视频演示可以在www.youtube.com/unhcfreg看到。
网络分析实验装置
在我们的研究中,我们使用一个HTC One M8(模型#:HTC6525LVW,运行在Android4.4.4)也使用了一个IPad2(模型#:MC954LL/A,运行在IOS7.1.2)。在数据采集前2周,我们为每个使用在Android和IPad2的应用建立了两个帐号。Android设备是我们检测的目标,而IPad仅仅是简单的作为和目标设备交换信息的通信伙伴。我们使用的Windows7 电脑和以太网连接到互联网,建立一个无线接入点。这台电脑是用来捕获两台移动设备通过WIFI发送的网络流量。此设置显示在图1。
图1.实验的网络配置
为了拦截网络流量,我们创建了一个无线接入点让这两个移动设备连接。这就使用了Windows7的虚拟WiFi适配器的特点去建立。这个特性允许用户们建立一个可以为大量设备作为一个无线接入点虚拟的网络。要做到这一点,主机要通过以太网连接到互联网,这样无线网卡才不会被使用。以太网连接被设置为通过虚拟无线微型适配器共享它的互联网接入。为了去设置虚拟网络,我们执行命令“netsh wlan set hostednetwork mode = allow ssid = test key = 1234567890”。
网络之后能够使用命令net wlan 去启用hostednetwork。因此,我们现在能够看到和连接到来自我们目标Android设备(HTC One)和IPad的测试网络。下一步,我们通过捕获发送在此虚拟连接上的数据,开始去监听移动设备上流入流出的网络流量。丢失的数据包的数量和捕获率没有被记录,因为我们没有认为它是和我们这次研究的目标是有关的。我们专注在实时监控,低悬的,未加密的流量无论证据是否被捕获。
Wireshark(一种网络协议分析工具)是用来捕获和保存网络流量的。这些网络文件(PCAP文件)可以从我们网站的数据和工具要求栏下下载。获得网络流量捕获文件之后,我们使用Wireshark,NetworkMiner和NetWitness工具来检查他们。我们开发了一个应用程序以简化这个过程,这个就强调在了6.1。
用户活动
一旦网络设置和流量捕获程序开始,我们进行了一系列的行动,随后试图通过安卓设备的取证分析和捕获的网络流量重建。由于我们的测试库中的每一个应用程序都有不同的功能(如表5所列),由于我们想检查所有的消息类型支持,我们在每个应用程序中执行的动作都是不同的。我们使用每个应用程序执行的操作都在表5中列出。
每个应用程序发送的每个信息的内容是不同的。我们使用一个证据类型池从图片,视频和纯文本文字中选择。我们在每一个应用程序的能力的基础之上从每一个证据池类型中随机抽取一项。从这个池中选择发送和接收的消息,因为它们在处理的通信方面是我们所主张是私人的方式,并且是一个丰富的数字证据来源。当一个单一的活动跟踪发现的证据类型,它被记录在案。然后,我们进行在表5上的程序功能列表的下一个网络流量证据类型,直到所有的功能都被测试。
数据存储实验装置
所有的网络分析完成之后,我们为了数据存储分析对手机进行成像验证。我们使用Microsystemation公司的XRY执行对Android设备的逻辑采集。XRY是被执法,军事和取证实验室信任的,在超过100个国家协助数字取证调查。我们使用自由选择的方法来验证我们的结果:使用氦备份来检索应用程序,数据库文件,然后,我们使用android备份提取器和SQLite数据库浏览器查看数据库文件的内容。当一个单一的活动跟踪发现的证据类型,它被记录在案。我们依据的存储的证据类型是在未加密的数据库文件中的聊天记录和明确的文本用户的配置文件数据。每个应用程序的证据记录实在单一的数据库文件中发现的,数据库文件中包含了聊天记录和/或用户的信息。
仪器
在我们测试之前,我们在两个移动设备上安装了表5整个列表上所有即时通信应用程序。表1显示了研究中的所有软件和硬件的列表。
表1:测试应用的设备和工具
|
设备/工具 |
用途 |
制造商 |
软件/操作系统版本 |
|
笔记本电脑 |
使用虚拟微型端口适配器创建测试网络 |
Windows |
Windows7 SP2 |
|
ONE M8 |
连接到测试网络 |
HTC |
Android 4.4.2 |
|
IPad2 |
连接到外部测试网络 |
Apple |
IOS 7.1.2 |
|
NetworkMiner |
观察网络流量 |
NETRESEC |
1.6.1 |
|
Wireshark(抓包工具) |
观察网络流量 |
Wireshark |
1.10.8 |
|
网络监控调查器 |
分析网络流量 |
EMC |
9.7.5.9 剩余内容已隐藏,支付完成后下载完整资料
资料编号:[153880],资料为PDF文档或Word文档,PDF文档可免费转换为Word |
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
