Lista de siglas
4. Caso de Estudo
4.6. Resultados da aquisição de dados
O foco do caso de estudo está na aquisição e análise dos dados. Nas secções seguintes vão ser apresentados os resultados das aquisições forenses realizadas aos dispositivos, incidindo nas aplicações estudadas. Foram efetuadas várias aquisições, das quais foram criados os seguintes anexos da Tabela 18.
Tabela 18 – Lista de anexos resultantes da aquisição e análise efetuada no projeto.
Nome do ficheiro Data das aquisições Tabela de resultados da aquisição Parte 1.pdf 7-11-2016
22-11-2016 Tabela de resultados da aquisição Parte 2.pdf 25-01-2017 31-01-2017 07-02-2017
Nota importante:
As diferenças encontradas nas aquisições diferem tanto das atualizações dos sistemas operativos dos dispositivos móveis, assim como da atualização de software que foi feita ao XRY, que capacita o software de maiores capacidades de encontrar dados.
A Tabela 19 apresenta as funcionalidades mais importantes das aplicações testadas.
Tabela 19 – Funcionalidades das aplicações.
Aplicação Empresa Associada Mensagem de texto Chamada de Vídeo Chamada de Voz Anexos
Google Alo Google SIM SIM
Cyphr Golden Frog SIM SIM SIM
Imo imo.im SIM SIM SIM SIM
Line Line
Corporation
SIM SIM SIM SIM
Messenger Facebook SIM SIM SIM SIM
Signal whispersystems SIM SIM (1) SIM SIM
Skype Microsoft SIM SIM SIM SIM
Telegram Telegram Messenger LLP
SIM SIM
Viber Viber Media
SARL
SIM SIM SIM SIM
Whatsapp Facebook SIM SIM SIM SIM
iMessage Apple SIM
(1) – Já é possível, devido a uma atualização recente.
Em baixo, na Tabela 20 apresentamos o resultado para as aplicações estudadas. De notar que podem existir diferenças nos resultados da aquisição para os diversos sistemas operativos, tendo em conta as diferentes versões do mesmo e as versões do software XRY que foram utilizadas.
Tabela 20 – Dados obtidos das aplicações.
A Tabela 21 apresenta parte dos dados encontrados e respetivos ficheiros dos dispositivos móveis Apple relativamente às mensagens, número do cartão SIM, registo de chamadas, contas de utilizador, histórico web, websites favoritos, fotografias de aplicações e da câmara, redes wi-fi, lista de contactos, registos de gps e eventos / registos de calendário. Algumas informações foram obtidas através da pesquisa e análise manual de cada ficheiro. Foi também consultada informação nos artigos (Morrissey, 2010; Satish B, 2011).
Núme ro do ca rtã o C ontas de uti li za dor C ontac tos Me nsa ge ns de texto Ane xos troc ados R egist o de C ha mada s F otos pe rfil C ha ve priva da Ende re ços IP Google Alo Cyphr Imo Line Messenger Signal Skype Telegram Viber Whatsapp iMessage
Tabela 21 – Dados obtidos e localização dos mesmos.
Dados Localização do ficheiro ou pasta
Localização principal dos dados das aplicações /private/var/mobile/Containers/Data/Application/ ou /private/var/mobile/Containers/Shared/AppGroup/ Localização principal de fotografias e imagens /private/var/mobile/Media/
Fotografias da camara /private/var/mobile/Media/DCIM/100APPLE/
Mensagens do
dispositivo /private/var/mobile/Library/SMS/sms.db Número de telemóvel
do cartão SIM inserido no dispositivo /private/var/wireless/Library/Databases/CellularUsage.db Histórico de Chamadas do dispositivo /private/var/mobile/Library/CallHistoryDB/ CallHistory.storedata Contas de utilizador no dispositivo /private/var/mobile/Library/Accounts/Accounts3.sqlite Histórico web da aplicação Safari /private/var/mobile/Containers/Data/Application/ com.apple.mobilesafari/Library/Safari/History.db Base de dados de fotografias /private/var/mobile/Media/PhotoData/Photos.sqlite Conta de utilizador gmail /private/var/mobile/Containers/Data/ Application/com.google.Gmail/Library/Preferences/ com.google.Gmail.plist Contas de utilizador de e-mail para os quais foram enviados e-mails.
/private/var/mobile/Containers/Shared/AppGroup/ group.com.google.Gmail/
Redes Wi-fi a que o dispositivo esteve ligado ou foram detetadas. /private/var/preferences/SystemConfiguration/ com.apple.wifi.plist
Lista de contactos /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb
Imagens dos contactos do dispositivo e dados dos contactos /private/var/mobile/Library/AddressBook/ AddressBookImages.sqlitedb Chamadas dos dispositivos /private/var/wireless/Library/CallHistory/call_history.db Websites favoritos que
foram guardados. /private/var/mobile/Library/Safari/Bookmarks.db
Registos de GPS /private/var/root/Library/Caches/locationd/consolidated.db Eventos de calendário e notas /private/var/mobile/Library/Calendar/Calendar.sqlitedb Nome do dispositivo e configurações de rede relativamente ao cartão SIM /private/var/preferences/SystemConfiguration/preferences.plist
A Tabela 22 apresenta os tipos de dados encontrados e respetivos ficheiros relativamente às aplicações testadas.
Tabela 22 - Tabela com tipos de dados e ficheiros com provas importantes relativos às aplicações estudadas.
Dados Localização do ficheiro
Google Alo – Número de telemóvel do cartão SIM
/private/var/mobile/Containers/Data/ Application/com.google.fireball/Library/ Preferences/ com.google.fireball.plist Cyphr - Chave privada, registo
de conversas entre contactos, nomes dos contactos e contas de utilizador com quem se trocou texto e anexos
/private/var/mobile/Containers/
Data/Application/com.goldenfrog. cyphr.mobile/Documents/ Cyphr.sqlite
Cyphr – Pasta com anexos trocados durante conversas
/private/var/mobile/Containers/Data/ Application/com.goldenfrog.cyphr.mobile/ Documents/cyphr/
Imo - Número de telemóvel relativo ao cartão instalado no dispositivo e nome da conta de utilizador da aplicação
/private/var/mobile/Containers/Shared/
AppGroup/group.im.imo/Library/Preferences/ group.im.imo.plist
Imo - Número de telemóvel de um dos contactos com quem se trocou texto e imagens.
/private/var/mobile/Containers/Shared/
AppGroup/group.im.imo/Library/Preferences/ ioimiphone.plist
Imo - Número de telemóvel da conta da aplicação e número de telemóvel de um contacto com quem se trocou texto e imagens.
/private/var/mobile/Containers/
Data/Application/imoimiphone/Documents/ imo_state.dat
Line - Número de telemóvel relativo ao cartão instalado no dispositivo e nome da conta de utilizador da aplicação.
/private/var/mobile/Containers/Data/
Application/jp.naver.line/Library/Preferences/ jp.naver.line.plist
Line - Lista de contactos da aplicação com nome e número de telemóvel e mensagens trocadas entre os contactos e respetivos números de telemóvel. Registo de chamadas efetuadas. /private/var/mobile/Containers/ Shared/AppGroup/group.com.linecorp.line/ Library/ ApplicationSupport/PrivateStore /P_u8b9ad4ec8bc4325393881a1 d47a96ec8/Messages/Line.sqlite
Line - informação de uma chamada de vídeo recebida e o nome do contacto.
/private/var/mobile/Library/SpringBoard /PushStore/ jp.naver.line.pushstore.plist Line – pasta de anexos
trocados.
\private\var\mobile\Library\Application Support\PrivateStore\
P_u8b9ad4ec8bc4325393881a1d47a96ec8\Message Attachments
Messenger - Chave privada e nome de utilizador da aplicação.
/private/var/mobile/Containers/Data/ Application/com.facebook.Messenger/
Library/Preferences/ com.facebook.Messenger.plist Messenger - informação dos
contactos da aplicação
Messenger e respetivos nomes.
/private/var/mobile/Library/SpringBoard /ApplicationShortcuts/
com.facebook.Messenger.plist
Signal - Informação de uma chamada recebida e do respetivo contacto.
/private/var/mobile/Containers/Data/
Application/org.whispersystems.signal/ Library/Preferences/private/var/
mobile/Library/SpringBoard/PushStore/
Skype - informação da conta de utilizador do utilizador da aplicação. /private/var/mobile/Containers/Data/ Application/ com.skype.skype/Library/Preferences/ com.skype.skype.plist
Skype - informação de um dos contactos com os quais foram trocados texto e anexos.
/private/var/mobile/Library/SpringBoard/
Telegram – Informação sobre os contactos com quem se trocou texto e anexos
/private/var/mobile/Library/
SpringBoard/ApplicationShortcuts/ ph.telegra.Telegraph.plist
Telegram - informação de um dos contactos, nomeadamente o nome da conta.
/private/var/mobile/Library/ SpringBoard/PushStore/ ph.telegra.Telegraph.pushstore Viber - informação relativa ao
número de telemóvel associado à conta de utilizador.
/private/var/mobile/Containers/Data/Application/ com.viber/Library/Preferences/com.viber.plist
Viber - Fotografia do perfil de utilizador da conta local.
/private/var/mobile/Containers/Shared/
AppGroup/group.viber.share.container/avatar.jpg Viber - informação relativa aos
contactos com que se trocou informações
/private/var/mobile/Containers/Shared/
AppGroup/group.viber.share.container/ Shared.data Viber – Pasta com anexos
trocados durante as conversas entre contactos.
/private/var/mobile/Containers/ Data/Application/com.viber/ /Documents/Attachments Viber - Miniaturas das fotos de
perfil da conta de utilizador.
/private/var/mobile/Containers/
Data/Application/com.viber/ Documents/ViberIcons Viber - mensagens trocadas
contactos da aplicação, números de telemóvel, registo de anexos trocados, registos de chamadas feitas e recebidas
/private/var/mobile/Containers/ Data/Application/com.viber/ Documents/contacts.data
Viber - número de telemóvel associado à aplicação /private/var/mobile/Containers/ Data/Application/com.viber/Documents/ Settings.data WhatsApp – Contactos bloqueados /private/var/mobile/Containers/Data/Application/ net.whatsapp.WhatsApp/Documents/ blockedcontacts.dat.plist WhatsApp - registos de
Chamadas com duração entre outros dados e os respetivos nomes de utilizador e números de telemóvel e registo dos contactos com quem se efetuou chamadas /private/var/mobile/Containers/Data/ Application/ net.whatsapp.WhatsApp/Documents/ calls.backup.log.plist WhatsApp - registos de Chamadas e os respetivos nomes de utilizador e números de
/private/var/mobile/Containers/Data/ Application/
telemóvel e registo dos contactos com quem se efetuou chamadas
net.whatsapp.WhatsApp/Documents/ calls.log.plist WhatsApp – Pasta com ficheiros
“.log” com registos de números de telemóvel associados às contas de utilizador dos contactos e do utilizador local, nome da operadora associada ao cartão SIM e registos de chamadas.
/private/var/mobile/Containers/ Data/Application/net.whatsapp. WhatsApp/Library/Logs/
WhatsApp – Pasta com anexos trocados durante o chat.
/private/var/mobile/Containers/Data/
Application/net.whatsapp.WhatsApp/Library /Media
WhatsApp - números de telemóvel associados às contas de utilizador com quem o utilizador trocou mensagens no chat.
/private/var/mobile/Containers/Data/ Application/net.whatsapp.WhatsApp/ Library/Preferences/UITextInput ContextIdentifiers.plist
WhatsApp - Contém, para cada contacto do chat o registo de texto trocado nas conversas
/private/var/mobile/Containers/ Shared/AppGroup/group.net.
whatsapp.WhatsApp.shared/ ChatSearch.sqlite
WhatsApp - contactos com quem se trocou mensagens no chat, índice de anexos trocados nas mensagens e texto trocado entre as conversas e os respetivos contactos private/var/mobile/Containers/ Shared/AppGroup/group.net.whatsapp. WhatsApp.shared/ChatStorage.sqlite WhatsApp - contactos do telemóvel /private/var/mobile/Containers/ Shared/AppGroup/group.net.whatsapp. WhatsApp.shared/Contacts.sqlite WhatsApp - Número de
telemóvel associado à conta de utilizador do whatsapp /private/var/mobile/ Containers/Shared/AppGroup/ group.net.whatsapp.WhatsApp.shared/ Library/Preferences/ group.net. whatsapp. WhatsApp.shared.plist
WhatsApp – Pasta com foto de perfil do utilizador local e contactos. /private/var/mobile/Containers/ Shared/AppGroup/group.net. whatsapp.WhatsApp.shared/ Media/Profile/ iMessage - mensagens SMS do dispositivo com o texto trocado e os respetivos números que enviaram as mensagens