A forense digital em dispositivos Android é uma área complexa devido à natureza aberta e altamente personalizável do sistema operacional Android. Este trabalho aborda os fundamentos necessários para compreender a aquisição de dados, focando na estrutura do sistema operacional, na segurança e permissões de aplicativos, e nas técnicas reconhecidamente aceitas pela computação forense.
Estrutura do Sistema Operacional Android
O Android é um sistema operacional baseado no kernel[1] do Linux, projetado principalmente para dispositivos móveis, como smartphones e tablets. O aprimoramento desse sistema operacional permitiu que ele chegasse à televisores, assistentes pessoais, relógios e até veículos. A arquitetura do Android é dividida em várias camadas, incluindo o kernel na base, as bibliotecas e a API do Android, e a camada de aplicativos no topo – tudo aquilo que o usuário efetivamente interage. Essa estrutura modular facilita a integração de componentes de hardware e software e permite aos desenvolvedores criar aplicativos que podem operar em uma ampla gama de dispositivos e hardwares.
O sistema de arquivos do Android segue uma estrutura hierárquica similar à do Linux, com pastas e arquivos organizados de maneira sistemática. Os dados dos usuários e aplicativos são armazenados separadamente dos arquivos do sistema, o que ajuda a manter a integridade e segurança do sistema operacional. Conhecer a estrutura do sistema de arquivos é crucial para a forense digital, pois muitas informações importantes podem ser recuperadas de localizações específicas dentro desse sistema. Muitas vezes as informações importantes para o investigador não são apenas aquelas que o usuário do dispositivo tem acesso (como as fotos da galeria de imagens, por exemplo), e sim os dados do próprio sistema operacional (a lista de Wi-Fis próximos, tokens de senha etc).
Segurança e Permissões de Aplicativos
A segurança é uma prioridade no Android, incorporando recursos como o modelo de permissão de aplicativos, isolamento de processos, e a criptografia de dados do usuário. O modelo de permissão do Android é projetado para proteger os dados do usuário e os recursos do sistema. Quando um aplicativo é instalado, ele deve declarar quais permissões necessita, como acesso ao GPS, câmera ou armazenamento. O usuário deve explicitamente conceder essas permissões, o que limita o acesso do aplicativo apenas aos recursos necessários para seu funcionamento.
Além disso, o Android usa o SELinux (Security-Enhanced Linux) para reforçar o controle de acesso obrigatório em todo o sistema, isolando ainda mais os aplicativos e os dados do usuário de acessos não autorizados. A partir da versão 7, o próprio “HD”[2] tem todos os arquivos criptografados individualmente (File-Based Encryption)[3]. Entender esses mecanismos de segurança é vital para os profissionais de forense digital, pois eles podem afetar como os dados podem ser acessados ou recuperados de um dispositivo.
Locais Comuns de Armazenamento de Dados
Os dispositivos Android armazenam dados em vários locais, incluindo a memória interna do dispositivo, cartões SD externos, e na nuvem. A memória interna é o local primário de armazenamento para o sistema operacional, aplicativos e dados do usuário, enquanto os cartões SD são frequentemente usados para armazenamento adicional. Além disso, muitos aplicativos utilizam serviços de armazenamento em nuvem para backup e sincronização de dados.
Os locais comuns de armazenamento de dados no dispositivo incluem:
/data/: Contém dados dos aplicativos instalados, como bancos de dados, preferências e arquivos de cache.
/sdcard/ ou /storage/emulated/0/: Geralmente refere-se ao armazenamento interno acessível pelo usuário, onde fotos, vídeos, downloads e outros arquivos pessoais são armazenados.
/system/: Contém arquivos do sistema operacional e aplicativos pré-instalados.
Para a forense digital, é essencial investigar esses e outros diretórios específicos, pois eles podem conter evidências valiosas, como mensagens de texto, históricos de chamadas, fotos e muito mais.
Métodos de aquisição de dados
1. Aquisição Física
A aquisição física, no contexto da forense digital, refere-se ao processo de copiar todos os dados brutos de um dispositivo eletrônico. Este método visa capturar uma imagem bit-a-bit do armazenamento físico do dispositivo, incluindo todos os setores, tanto os alocados quanto os não alocados. Isso significa que, além dos dados acessíveis ao usuário e ao sistema, a aquisição física também recupera dados excluídos ou ocultos na área não alocada do armazenamento.
As técnicas de aquisição física variam dependendo do dispositivo, mas geralmente envolvem o uso de um bootloader especial ou um modo de recuperação que permite ao investigador acessar o armazenamento completo do dispositivo sem iniciar o sistema operacional principal. Em alguns casos, técnicas mais avançadas, como a desmontagem física do dispositivo e a leitura direta dos chips de memória usando equipamentos especializados, podem ser necessárias.
Com a segurança atual dos smartphones a aquisição física passou a ser extremamente complexa e difícil – em alguns casos, impossível, do ponto de vista prático, já que os dados e arquivos até podem ser coletados, mas permanecerão criptografados. Para uma coleta ‘útil’ será necessário combinar diversas técnicas e explorar eventuais vulnerabilidades dos chipsets.
É muito importante destacar que o que algumas ferramentas comerciais chamam de aquisição física, não é, de fato, já que não há a cópia bit-a-bit dos dados.
Vantagens | Desvantagens |
· Completude dos Dados: Como captura a totalidade do armazenamento do dispositivo, incluindo partes não alocadas, a aquisição física pode revelar dados que outros métodos não conseguem, como arquivos excluídos ou ocultos. · Evidência Forense Integral: A imagem bit-a-bit é uma representação completa do estado do dispositivo, tornando-se uma peça de evidência forense valiosa. | · Complexidade Técnica: Requer conhecimento especializado e, muitas vezes, acesso físico ao hardware do dispositivo, o que pode ser desafiador com dispositivos mais recentes devido a medidas de segurança avançadas. · Tempo e Recursos: O processo pode ser demorado e requer equipamentos especializados, especialmente em casos onde é necessário desmontar o dispositivo ou usar métodos avançados de extração. |
2. Aquisição Lógica
A aquisição lógica é um método de coleta de dados forenses que envolve a extração de arquivos e informações visíveis ao sistema operacional e ao usuário. Este processo foca na recuperação de dados estruturados, como documentos, mensagens, registros de chamadas, fotos, vídeos e aplicativos, assim como suas configurações e dados associados. Diferente da aquisição física, a lógica não inclui segmentos não alocados do armazenamento, limitando-se aos dados ativos e acessíveis.
As técnicas de aquisição lógica geralmente envolvem o uso de interfaces de programação de aplicativos (APIs) fornecidas pelo sistema operacional ou o acesso direto ao sistema de arquivos através de permissões concedidas, sem a necessidade de bypassar as medidas de segurança do dispositivo.
Vantagens | Desvantagens |
· Menor Complexidade: Mais fácil e rápido de executar do que a aquisição física, não requerendo habilidades técnicas avançadas ou desmontagem do dispositivo. · Menos Invasivo: Reduz o risco de danificar o dispositivo ou os dados durante o processo de extração. · Maior facilidade de leitura dos dados: Os dados coletados são mais fáceis de ler, pois estão montados da forma que o usuário ou o sistema operacional consegue interpretar. | · Dados Limitados: Não captura dados excluídos ou ocultos no armazenamento não alocado, o que pode limitar a quantidade de evidências recuperáveis, exceto quando estão na Lixeira. · Dependência de Software: A eficácia depende da capacidade do software de acessar e extrair dados, que pode ser limitada por restrições de segurança ou atualizações do sistema operacional. |
Enquanto a aquisição física busca uma imagem completa do armazenamento do dispositivo, buscando cada bit no armazenamento e capturando até mesmo dados excluídos ou não acessíveis através do sistema operacional, a aquisição lógica se concentra apenas nos dados ativos e acessíveis. A escolha entre esses métodos depende do objetivo da investigação, das limitações técnicas do equipamento, e das informações específicas que se deseja recuperar. A aquisição física é mais abrangente e potencialmente mais reveladora, mas também mais complexa e invasiva, enquanto a aquisição lógica oferece uma maneira mais rápida e menos intrusiva de acessar dados importantes, embora de forma menos completa.
3. Aquisição por Backup
A aquisição via backup refere-se ao processo de coleta de dados forenses a partir de cópias de segurança (backups) dos dispositivos que possuem essa funcionalidade nativa. Este método explora os arquivos de backup criados por sistemas operacionais, aplicativos ou serviços de nuvem para extrair informações relevantes sem interagir diretamente com o dispositivo físico. Os backups podem incluir uma ampla gama de dados, como históricos de chamadas, mensagens, fotos, vídeos, documentos e até mesmo configurações de aplicativos e do sistema.
As técnicas de aquisição via backup geralmente envolvem acessar os backups armazenados localmente em um computador ou em serviços de armazenamento na nuvem. A autenticação pode ser necessária para acessar esses backups, especialmente os armazenados na nuvem, exigindo credenciais de login ou tokens de acesso. O sistema Android possui sua própria ferramenta de backup, chamada adb backup[i], enquanto o iphone tem o iTunes Backup.
A aquisição por backup também pode ser feita através do armazenamento em nuvem, uma vez que grande parte dos aplicativos – e o próprio sistema operacional – guardam bancos de dados e configurações na rede. Nesses casos a aquisição de dados pode ser feita diretamente com a empresa responsável pela aplicação, ou usando as credenciais de acesso disponíveis no aparelho.
Vantagens | Desvantagens |
· Acessibilidade: Pode permitir a coleta de dados sem necessidade de acesso físico ao dispositivo, ideal para situações onde o dispositivo não está disponível. · Segurança: Reduz o risco de alteração de dados no dispositivo durante a coleta de evidências, mantendo a integridade dos dados originais. · Abrangência: Os backups frequentemente contêm um histórico extenso de dados do usuário, proporcionando uma visão abrangente ao longo do tempo. | · Atualidade dos Dados: Os backups podem não refletir o estado mais recente dos dados do dispositivo, dependendo da última vez que foram realizados. · Acesso e Segurança: A obtenção de backups armazenados na nuvem pode exigir autenticação, e há desafios legais e éticos associados ao acesso desses dados sem as permissões adequadas. · Dependência de Configurações: A disponibilidade e abrangência dos dados dependem das configurações de backup do usuário, que podem variar significativamente. |
A aquisição via backup se distingue da aquisição física e lógica por utilizar a estrutura do próprio sistema operacional para fazer a coleta de dados. Enquanto a aquisição física e lógica dependem da extração de dados do hardware do dispositivo, a aquisição via backup utiliza cópias de segurança previamente criadas. Esta abordagem oferece uma alternativa menos invasiva e tecnicamente menos complexa, embora possa ser limitada pela frequência e abrangência dos backups realizados pelo usuário.
4. Aquisição de sistema de arquivos
A aquisição de sistema de arquivos é um método de coleta de dados forenses que envolve extrair a estrutura de arquivos e diretórios de um dispositivo, mantendo as informações sobre os arquivos e sua organização, mas sem capturar a imagem bit-a-bit do armazenamento físico completo. Este método foca nos arquivos acessíveis e na estrutura de diretórios que o sistema operacional utiliza para gerenciar os dados, incluindo metadados como datas de criação e modificação, permissões de arquivo e propriedade.
As técnicas utilizadas para a aquisição de sistema de arquivos podem variar, mas comumente envolvem o uso de ferramentas forenses que podem navegar e extrair dados do sistema de arquivos do dispositivo. Este processo pode ser realizado através de interfaces de software que permitem a interação com o sistema de arquivos sem a necessidade de remover fisicamente o armazenamento do dispositivo ou usar métodos invasivos.
A aquisição de sistema de arquivos pode ser feita a partir da estrutura de diretórios e arquivos disponíveis ao usuário, ou, mediante técnicas mais avançadas, é possível copiar pastas bloqueadas e ocultas do sistema operacional (full file system).
Vantagens | Desvantagens |
· Eficiência: Menos demorado do que a aquisição física completa, pois foca apenas nos arquivos e estruturas de diretórios, agilizando o processo de análise. · Flexibilidade: Permite aos investigadores focar em partes específicas do sistema de arquivos que são mais relevantes para a investigação. · Menor Impacto: Como não requer aquisição bit-a-bit de todo o armazenamento, é menos intrusivo e reduz o risco de sobrescrever dados. | · Dados Potencialmente Não Capturados: Pode não recuperar dados excluídos ou informações armazenadas fora das áreas padrão do sistema de arquivos, limitando o escopo da investigação. · Dependência do Sistema de Arquivos: A eficácia pode variar dependendo do sistema de arquivos do dispositivo e de quão bem a ferramenta de aquisição pode interagir com ele. |
Diferentemente da aquisição física, que captura toda a imagem do armazenamento, e da aquisição lógica, que extrai dados específicos acessíveis pelo sistema operacional, a aquisição de sistema de arquivos oferece um meio-termo, focando na estrutura organizacional dos dados. Essa abordagem permite uma análise mais rápida e direcionada, ideal para situações em que o acesso a informações específicas do sistema de arquivos é crucial, sem a necessidade de processar o volume total de dados presente em uma aquisição física completa.
5. Aquisição por captura de tela (screenshot)
A aquisição por captura de tela, ou screenshot, é uma técnica de coleta de dados forenses que envolve a gravação visual do conteúdo exibido na tela de um dispositivo eletrônico. Este método é usado para preservar informações apresentadas visualmente em aplicações, websites ou em qualquer interface gráfica do usuário. As capturas de tela podem ser realizadas manualmente por um usuário ou automatizadas através de software, capturando exatamente o que é visto na tela em um momento específico. Além da imagem da tela do dispositivo é possível coletar alguns metadados que indicam que a imagem corresponde, verdadeiramente, ao que está sendo exibido na tela.
As técnicas para captura de tela variam desde o uso de comandos ou ferramentas integradas no sistema operacional até o uso de softwares especializados que oferecem funcionalidades avançadas, como programação de capturas automáticas, anotações e edição. Essa técnica tem a maior vantagem sobre as outras, porque mostra os dados exatamente como eles são exibidos ao usuário – ex. um aplicativo de mensagens terá o visual correto, e não uma reprodução do banco de dados de mensagem.
Vantagens | Desvantagens |
· Simplicidade: Fácil de realizar sem a necessidade de equipamentos ou software especializado. · Imediatismo: Capta informações exatamente como apresentadas ao usuário, útil para capturar evidências de atividades em tempo real ou conteúdo dinâmico. · Versatilidade: Pode ser utilizado em qualquer dispositivo que tenha uma saída de vídeo, incluindo smartphones, tablets e computadores. | · Limitação de Dados: Captura apenas a informação visual e em aplicativos, sem dados de logs. · Volume de Dados: Para informações extensas, muitas capturas de tela podem ser necessárias, tornando o processo demorado e difícil de organizar. |
Diferente dos métodos de aquisição física, lógica, de sistema de arquivos ou via backup, a aquisição por captura de tela foca exclusivamente no conteúdo visual exibido na interface do usuário em um dado momento. Enquanto outros métodos procuram extrair dados brutos, estruturados e detalhados do dispositivo, a captura de tela é uma abordagem mais direta e menos invasiva, ideal para documentar evidências visuais de atividades online, mensagens instantâneas, ou qualquer informação que pode mudar rapidamente ou desaparecer. Ela tem a vantagem de parecer mais ‘real’ ao leitor que não tem conhecimento técnico, porque mostra os dados como estão na tela do dispositivo.
6. Aquisição por Application Downgrade
A aquisição por Application Downgrade é uma técnica de coleta de dados forenses que envolve reverter um aplicativo para uma versão anterior específica, para explorar vulnerabilidades que permitem ter um acesso maior a bancos de dados e logs do aplicativo. Essa abordagem é usada quando versões mais recentes de um aplicativo fortalecem a segurança ou restringem o acesso a dados de maneira que impeça a extração forense. Ao voltar para uma versão anterior, os investigadores podem contornar essas restrições e acessar dados importantes para a investigação.
As técnicas de downgrade de aplicativos é bastante invasiva é necessita, obrigatoriamente, da desinstalação do aplicativo a ser quebrado, com a posterior instalação da versão vulnerável para coleta, até ser restabelecida a versão original anterior. Essa técnica pode necessitar ainda do desbloqueio do bootloader do dispositivo, obtenção de acesso root ou jailbreak, dependendo de quais aplicativos serão coletados. Esses processos variam dependendo do sistema operacional do dispositivo e do aplicativo específico.
Todo o processo deve ser corretamente documentado pelo analista, haja vista as particularidades desse método. O manejo incorreto dessa técnica, bem como algumas restrições por parte dos próprios aplicativos, pode resultar na perda definitiva dos dados que se pretendiam coletar.
Vantagens | Desvantagens |
· Acesso a Dados: Permite o acesso a dados que podem não estar disponíveis ou acessíveis em versões mais recentes de um aplicativo. · Contornar Restrições de Segurança: Útil para contornar melhorias de segurança implementadas em atualizações recentes. | · Riscos de Segurança: Executar o downgrade em um aplicativo pode expor o dispositivo a vulnerabilidades de segurança conhecidas. · Complexidade Técnica: Requer conhecimento técnico avançado quando realizado sem o uso de ferramentas automatizadas. |
Diferente dos métodos convencionais de aquisição de dados, a aquisição por Application Downgrade foca especificamente em explorar versões anteriores de aplicativos para acessar dados. Enquanto outros métodos tentam extrair dados diretamente do dispositivo ou através de backups, o downgrade visa contornar as restrições de segurança implementadas pelos desenvolvedores de aplicativos ao reverter para uma versão mais vulnerável do software. Este método é particularmente útil quando enfrentamos medidas de segurança robustas que limitam o acesso tradicional aos dados necessários para investigações forenses. Possui o risco de perda de dados quando houver gatilhos de segurança no aplicativo, ou quando manejado de maneira incorreta.
7. Aquisição por Agent Application (ou agent backup)
A aquisição por 'agent backup' é um método de coleta de dados forenses que envolve o uso de um software ou agente especializado instalado no dispositivo alvo para facilitar a criação de um backup dos dados. Esse agente trabalha coletando informações do dispositivo e então as exporta em um formato acessível para análise forense. Diferente da aquisição tradicional via backup, que depende de backups pré-existentes criados pelo sistema ou pelo usuário, a aquisição por 'agent backup' cria um novo backup por demanda, usando o agente especificamente projetado para esse fim.
As técnicas incluem a instalação temporária do agente no dispositivo, que pode ser realizada de forma remota ou direta, dependendo do caso e das capacidades do dispositivo. Uma vez instalado, o agente coleta dados como mensagens, registros de chamadas, fotos, vídeos e outros arquivos de usuário, além de dados de aplicativos. Esse agente tem a vantagem de ser instalado no sistema operacional e coletar todas as permissões necessárias impostas pelas barreiras de segurança. As principais ferramentas comerciais têm seu próprio agente application que expande a capacidade de coleta de dados, quando combinado com as outras técnicas.
Vantagens | Desvantagens |
· Flexibilidade: Permite a coleta de dados específicos, tornando o processo mais direcionado e eficiente. · Privilégios: O aplicativo instalado adquire os privilégios necessários para acessar diversas informações do sistema, sendo mais fácil coletar os dados do que através de outras técnicas. | · Requer Acesso ao Dispositivo: Para instalar o agente, é necessário ter acesso ao dispositivo, o que pode ser um desafio em situações onde o dispositivo está bloqueado ou protegido por medidas de segurança. · Compatibilidade: A eficácia do método pode depender da compatibilidade do agente com diferentes versões do sistema operacional e modelos de dispositivos. |
A aquisição por agent backup se diferencia dos métodos tradicionais de aquisição, como a aquisição física, lógica ou via backup padrão, por envolver a instalação de um agente dedicado para facilitar a coleta de dados. Enquanto outros métodos dependem de acessar diretamente o armazenamento do dispositivo ou utilizar backups existentes, a aquisição por agent backup cria um novo backup específico para a análise forense, oferecendo uma abordagem mais controlada e com as permissões necessárias para a coleta dos dados.
Estudos de Casos
Este capítulo explora exemplos reais de aquisição de dados em sistemas Android, destacando as lições aprendidas e as melhores práticas derivadas dessas experiências. Ao analisar casos específicos, podemos entender melhor os desafios e as estratégias eficazes na forense digital de dispositivos Android.
Caso 1: Recuperação de dados após exclusão do aplicativo de mensagens
Em um caso de investigação de ameaças online, os investigadores precisavam recuperar as mensagens do whatsapp em um celular Android.
Seguindo as técnicas mais simples até as mais complexas, foi realizada a extração lógica dos dados de todo o dispositivo – nesse caso, por ser um Android recente, não é possível fazer cópia física. Depois de preservado o conteúdo do dispositivo e gerados os hashes da extração, foi realizada a cópia do sistema de arquivos do whatsapp, coletando o banco de dados criptografado e os arquivos de mídia. Para descriptografar o banco de dados, foi realizado a downgrade do whatsapp, o que permitiu coletar a chave de criptografia e acessar as mensagens, remontando os diálogos.
Caso 2: Uso de Backups na nuvem para recuperar evidências
Em uma investigação de roubo de identidade, os investigadores enfrentaram um dispositivo Android bloqueado e criptografado, o que impedia o acesso direto aos dados. No entanto, ao acessar backups armazenados na conta associada ao dispositivo, foram capazes de recuperar emails, fotos e documentos importantes para a investigação, utilizando técnicas de aquisição via backup.
Caso 3: Recuperação de fotos e vídeos excluídas
Em uma investigação de homicídio, os investigadores usaram a aquisição física para coletar dados de espaços não alocados no mapa de arquivos. Ali eles encontraram diversas fotos e vídeos que comprovavam que os acusados haviam matado o filho, e que ele havia sido espancado antes de morrer.
Importância da Cadeia de Custódia
Manter uma cadeia de custódia é crucial em investigações forenses digitais. A legislação brasileira explica ‘todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte’. Documentar cada passo do processo de aquisição de dados assegura a integridade e a admissibilidade das evidências em processos judiciais.
Embora a criação de hashes não seja próprio da cadeia de custódia, eles têm um papel acentuado na metodologia forense, porque auxiliam a demonstrar a integridade dos dados coletados durante todo o ciclo de vida da prova no processo penal.
Conclusão
À medida que a tecnologia avança, também evoluem os métodos pelos quais os dados são protegidos, armazenados e gerenciados nos dispositivos móveis. Novas versões do sistema operacional, atualizações de segurança e o desenvolvimento de aplicativos com criptografia avançada continuam a apresentar desafios significativos para a aquisição de dados forenses. Essa constante evolução exige que os profissionais da área de forense digital permaneçam atualizados com as últimas ferramentas, técnicas e tendências tecnológicas. A capacitação contínua e a pesquisa em novos métodos de aquisição são essenciais para superar esses desafios e extrair eficazmente as evidências necessárias para as investigações.
A colaboração entre os desenvolvedores de ferramentas forenses, as forças de segurança e os profissionais da área é fundamental para o desenvolvimento de novas técnicas e a melhoria das existentes. Enquanto enfrentamos os desafios impostos pela rápida evolução dos dispositivos móveis, a inovação contínua nas metodologias forenses se torna não apenas importante, mas essencial para garantir a eficácia das investigações digitais.
Cada procedimento requer considerações específicas em relação à compatibilidade, riscos de segurança e integridade dos dados. A escolha da técnica adequada depende do contexto da investigação, do tipo de dados necessários e das restrições legais e técnicas.
[i] Para saber mais sobre o ADB consulte o livro “ADB Backup. O guia definitivo da maior ferramenta hacking de Android”, do mesmo autor. WB Editora, 2023.
[1] Kernel é uma espécie de núcleo, ou “cérebro” do computador. Ele é o responsável por fazer a ligação entre os softwares e o hardware, permitindo que o sistema operacional possa gerenciar todos os dispositivos do computador.
[2] Os smartphones não possuem mais hard-disks, eles operam com memória flash NAND (eMMC, Universal Flash Storage (UFS) ou PCI Express NVMe)
[3] A criptografia baseada em arquivo faz com que cada arquivo seja criptografado com uma chave de criptografia diferente, dificultando que um ataque externo consiga desbloquear o sistema todo, como ocorria nas versões anteriores, onde a criptografia era baseada em disco (Full-Disk Encryption - FDE). Cada arquivo possui sua chave de criptografia e precisa ser descriptografado independentemente.
Comments