暗号化の有無にかかわらず、スマートフォンのデータはこのフォレンジック ツールで簡単に復元できます
Apple がテロリストのロックされた iPhone 5c のロックを解除するよう FBI に依頼されたことをめぐって起きた大騒ぎを覚えているなら。このニュースは、FBIがテロリストのiPhoneのロックを解除するためにイスラエルに拠点を置く企業と密かに契約するまで、ほぼ1週間にわたって世界のテクノロジーニュースを独占するほどの誇大宣伝と意見を引き起こした。
現在、FBI またはさらに言えば、研究者がスマートフォンの RAM からデータを回復する新しいフォレンジック ツールを開発したため、どの法執行機関も、ロックまたは暗号化されたスマートフォンからデータを回復するためにどこにも行く必要はありません。レトロスコープ。
パデュー大学の研究者らは、スマートフォンの揮発性メモリに保存された情報を回復するための新しいツールを開発した。これは捜査官に刑事事件を解決するための重要な手がかりを与える可能性がある。研究者らは、携帯電話がシャットダウンされた後も情報が保存されている暗号化されたスマートフォンのハードドライブのロックを解除しようとする代わりに、揮発性の RAM を詳しく調査することを考えました。一般に、スマートフォンをシャットダウンするとすぐに RAM (ランダム アクセス メモリ) の内容が失われると考えられていますが、研究者らは、たとえスマートフォンの電源がオフになっていたとしても、RAM から驚くべき量のデータを回復できることを発見しました。チームの初期の研究の結果、Android アプリケーションによって表示された最後の画面を復元できる作業が行われました。
「揮発性メモリにはすべてのアプリの実行からの最も新しい情報が保存されているという意味で、これはサイバー犯罪捜査の最前線であると私たちは主張します」と主任研究員の Dongyan Xu 氏は述べています。 「捜査官は、犯罪や攻撃の解決に向けて、よりタイムリーな法医学情報を入手できるようになりました」と Xu 氏は述べています。
Xu氏によると、彼らの研究に基づいて、アプリがデータを表示した後も長い間、揮発性メモリに大量のデータを残していることが判明したという。 RetroScope は、Android で使用される一般的なレンダリング フレームワークを利用して、再描画コマンドを発行し、Android アプリの揮発性メモリで利用可能な限り多くの以前の画面を取得します。
法執行機関にとってさらに重要なことは、Retroscope がアプリの内部データに関する事前情報を必要としないことです。復元された画面は、アプリが表示した最後の画面から始まり、以前に表示された順序で表示されます。 「使用時に画面に表示されていたものはすべて、回収された画面によって示され、捜査員に膨大な情報を提供します」と徐氏は述べた。
テスト中、RetroScope は 15 の異なるアプリで 3 つから 11 つ前の画面を復元できました。アプリごとに平均 5 ページです。この調査結果は、テキサス州オースティンで開催された USENIX セキュリティ シンポジウムで発表されました。 「私たちは、このテクノロジーがスマートフォンフォレンジックにおける新たなパラダイムを実際に表していると、誇張することなく感じています」と彼は言いました。
「これは、ハードドライブと揮発性メモリの両方を分析するための既存の方法論とは大きく異なります」と Xu 氏は述べました。
