Análise de divulgação de informações de usuários por aplicativos

A próxima análise serve para examinar o quanto um aplicativo é seguro, com relação a não divulgar dados importantes relacionados ao usuário (seu nome, senhas, entre outros). Para en- contrar este tipo de informação, para um aplicativo específico, primeiro é preciso localizar a iden- tificação única do processo (PID), então este é mapeado na memória para descobrir os offsets do heap, que é a área da memória que é de interesse e, por último, é feito o dump do heap [Stirparo, Fovino e Kounelis 2013]. Para isso, utilizam-se três plugins do Volatility:

• linux_pslist ; • linux_proc_maps; • linux_dump_map.

Por exemplo, foi analisado o aplicativo Facebook. Para isso, foi utilizado o primeiro plugin para listar todos os processos. As Figuras 4.26 e 4.27 mostram este procedimento. A lista foi reduzida por conter muitos processos e informações. A partir da Figura 4.27, identifica-se o PID do app, que neste caso teve o valor de ‘311’.

Figura 4.26: Identificação dos processos com o plugin linux_pslist

Após a identificação do PID, usa-se o segundo plugin (linux_proc_maps) para encontrar os offsets específicos do app. A Figura 4.28 mostra como obter os offsets do processo analisado.

É preciso fazer o dump tanto do heap principal do app, quanto o heap da DalvikVM. A razão da existência dessa quantidade de heaps é porque, quando uma aplicação é iniciada, ela é executada em seu próprio processo, que contém a sua instância específica. Portanto, um heap é nativo do processo em si e o outro é o heap interno da máquina virtual. Como a aplicação é executada dentro da DalvikVM, é esperado que sejam encontrados dados de entrada inseridos pelo usuário no heap da DalvikVM, sendo possível até que sejam encontrados nos dois.

O dump do primeiro offset é identificado na Figura 4.29. Neste primeiro comando foi feito o dump do heap nativo (endereço 0x000000000000b000). O plugin extrai informações de todos os processos, portanto, a imagem foi reduzida.

Figura 4.27: Identificação dos processos com o plugin linux_pslist

Figura 4.28: Uso do plugin linux_proc_maps para encontrar os offsets

Figura 4.29: Dump do primeiro offset com o plugin linux_dump_map

A Figura 4.30 mostra como foi feito o dump o dump do heap da DalvikVM (endereço 0x00000000 409b1000).

Assim como na listagem de processos, alguns tasks foram retirados, pois, havia muitos processos recorrentes do dump. Os arquivos salvos com o dump da memória são binários e foram analisados com o auxílio de um editor hexadecimal. Neste caso, foi utilizado o Bless Hex Editor [Hex]. A instalação do mesmo está descrita no Anexo I.

Figura 4.30: Dump do segundo offset com o plugin linux_dump_map

com o nome de usuário que foi utilizado para o teste. Ao procurar pelo nome de usuário de login do app no dump task.890.0xb000, foi encontrada facilmente a informação. A Figura 4.31 mostra este resultado.

Figura 4.31: Análise do dump da memória do aplicativo Facebook

Como se pode observar, no momento da captura da memória, o aplicativo apresentava informa- ções sobre a conta de usuário. Neste caso, foi o e-mail (rabesidona2012@hotmail.com), utilizado como login, que pode ser observado no arquivo binário. Após esta análise, pode-se verificar que mais informações críticas podem ser adquiridas de um aplicativo, dependendo da sua segurança, com relação aos dados do usuário a serem protegidos. Portanto, na perspectiva da Forense de dispositivos móveis, dados que muitas vezes não podem ser colhidos diretamente do aplicativo, podem ser obtidos pela captura da memória do dispositivo, além de poder fazer análises sobre a segurança dos apps.

4.2.4 AFLogical OSE

Para que alguns testes fossem feitos com esta ferramenta, foi preciso simular algumas ligações e mensagens de textos recebidas e enviadas pelo dispositivo. Estas simulações são encontradas no Anexo III. Na Figura 4.32 mostra-se como instalar o arquivo .apk no dispositivo.

Após a instalação, o analista tem que acessar o dispositivo e executar o aplicativo AFLogical OSE. A Figura 4.33 mostra como ele se comporta ao ser executado.

Marcam-se as opções das quais se deseja obter dados e, então, a opção Capture é selecionada e, depois, confirma-se com um OK para que seja tudo salvo. A Figura 4.34 mostra onde as informações foram salvas no dispositivo. Geralmente, elas são armazenadas no cartão de memória,

Figura 4.32: Instalação do arquivo .apk no dispositivo

Figura 4.33: Comportamento da execução do aplicativo AFLogical OSE no dispositivo analisado

em uma pasta com o nome forensics.

Figura 4.34: Localização das informações coletadas

A Figura 4.35 mostra como a função pull do ADB foi utilizada para se transferir as informações coletadas do dispositivo para o computador do investigador.

Figura 4.35: Transferência das informações do dispositivo para o computador do investigador

Após a transferência de informações, é possível analisar os arquivos. Estes são salvos em formato .csv e os resultados são apresentados em tabelas. As Figuras 4.36, 4.37 e 4.38 mostram, respectivamente, o registro de chamadas do dispositivo, os contatos salvos e também o SMS que estava armazenado no mesmo.

Figura 4.36: Resultado do registro de chamadas do dispositivo

Na Figura 4.36, são apresentadas as chamadas que foram recebidas ou efetuadas pelo disposi- tivo. A coluna number identifica o número do telefone celular que contactou ou foi contactado; a coluna date representa a data da chamada e está no formato Epoch do Linux (pode ser transfor- mada utilizando [Epoch]); duration apresenta o tempo da ligação em segundos e type identifica se a chamada foi recebida (‘1’), efetuada (‘2’) ou perdida (‘3’).

Figura 4.37: Resultado do registro de contatos do dispositivo

Na Figura 4.37 é exibido o contato que estava salvo no dispositivo, mostrando o número na coluna number e o nome do mesmo em duas colunas, display_name e name.

Figura 4.38: Resultado do registro de SMS do dispositivo

Na Figura 4.38 é exibido o SMS armazenado, apresenta em address o número relacionado à mensagem; em date a data da mensagem, também no formato Epoch; a coluna type identifica se a mensagem foi recebida (‘1’) ou enviada (‘2’) e, por último, o conteúdo do SMS é apresentado na coluna body.

Estas informações coletadas pela ferramenta são de extrema importância em uma investigação, e a mesma pode ser utilizada num momento em que sejam necessários resultados rápidos e simples. Vale ressaltar que o dispositivo tem que estar em modo root, assim como quando estiver em uso por qualquer outra das ferramentas apresentadas nesta pesquisa.