El uso del sistema operativo Android está creciendo a una velocidad que asusta. Los últimos datos dicen que cada día se activan 1,3 millones de dispositivos Android y que, si sigue este ritmo, en 4 años habrá más sistemas de Google en funcionamiento que sistemas Windows. Dedicar esfuerzo de investigación hacia este sistema se hace totalmente necesario, y en seguridad, un área importante e interesante es el estudio forense.

Un analista forense debe ser capaz de extraer el máximo de información disponible del dispositivo. Dependiendo del propósito de la investigación, se centrará en extraer unos determinados datos u otros. Por ejemplo, un investigador que analiza un posible smartphone infectado con malware necesitará los procesos en memoria, las conexiones activas, el tráfico entrante y saliente, mientras que en el análisis de un móvil cuyo dueño es sospechoso de un delito, buscará datos que pueda ayudar a la investigación a aportar evidencias, como las llamadas realizadas, emails, posición GPS, fotos, historial de chat, etc.

Tenemos varios métodos para extraer información en un dispositivo android: volcado de memoria RAM, imagen de memoria NAND, de la memoria externa SD-card y extracción de datos en caliente. El post de hoy se va a centrar en recuperar datos mediante comandos propios del sistema de Android, y concretamente, en los logs generados por el sistema.

Sin embargo, hay que tener en cuenta un concepto claro: el análisis de los logs generados en una máquina en vivo tiene dos principales riesgos:

• Los datos generados por comandos de una máquina no se pueden tomar por 100% fiables, puesto que el dispositivo puede estar deliberadamente comprometido, y generar datos falsos. Solo se puede estar seguro de los datos extraídos si los comandos ejecutados provienen de una fuente confiable.
• El hecho de ejecutar comandos propios de un sistema para extraer información altera el estado original del dispositivo, por lo que se podría romper la cadena de custodia.

No obstante, el análisis forense de un dispositivo móvil es más complicado que el de un equipo clásico. No se puede sacar fácilmente la memoria de almacenamiento interno del sistema, es decir, extraer el disco duro, y hacerle una imagen. En este caso hay que extraer la memoria mediante técnicas de chip-off y suele ser bastante complicado y costoso. Además, apagando el dispositivo se corre el riesgo de no volver a acceder al sistema, por tener la partición de sistema cifrada o dispositivos de bloqueo por contraseña. Hay que valorar por tanto si merece la pena afrontar los dos riesgos anteriores para extraer información del dispositivo en caliente, que con los otros métodos no sería posible recuperar.

Como apunte, en un futuro probablemente estos problemas estarán solucionados gracias a poder recuperar toda la información mediante el análisis del volcado de la memoria RAM. Por ahora se puede conseguir bastante información, volcando la RAM con LiME y analizándola con volatility. La siguiente versión de éste último promete mayor soporte para Android. En una próxima entrada se explicará con más detalle este método.

Más información: http://www.securityartwork.es/2012/10/31/android-log-forensics/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+SecurityArtWork+%28Security+Art+Work%29