I file cancellati dai dispositivi mobile si possono recuperare e persino quelli cancellati dal cloud. L’hanno sperimentato alcuni ricercatori dell’University of Glasgow i quali hanno scoperto che è possibile recuperare totalmente immagini, file audio, PDF e documenti Word cancellati da Dropbox, Box e SugarSync e altri servizi, usando sia uno smartphone HTC con Android, sia un iPhone.
La scoperta è dettagliata in un documento in PDF (“Using Smartphones as a Proxy for Forensic Evidence contained in Cloud Storage”) e rappresenta un eccellente esempio del perché molte aziende dovrebbero fare attenzione e al fenomeno del cosiddetto bring your own device (BYOD), cioè la possibilità per gli utenti di collegare dispositivi personali al proprio profilo aziendale. L’utente utilizza i propri dispositivi in vari ambienti, accedendo spesso a sistemi di file sharing in reti che prevedono meccanismi di sicurezza enterprise ma questi potrebbero servire a poco, se qualche esperto riesce a mettere le mani sui dispositivi.
I ricercatori George Grispos, Brad Glisson e Tim Storer hanno creato per prova 20 tipologie di file: MP3, MP4,JPG, DOCX, PDF, hanno eseguito l’upload su servizi cloud da un PC con Windows 7 e sincronizzato i file con i dispositivi di test. Dai dispositivi, i file sono stati manipolati in vari modi: visualizzando documenti, avviando filmati e altro online e salvandoli per accedervi poi offline. I dispositivi sono stati poi collegati ad apparecchiature UFED (Universal Forensic Extraction Device) ed esaminati con tool di analisi forense che permettono di estrarre file e artefatti prelevandoli dai dump della memoria.
Sui dispositivi HTC è stato possibile recuperare i file cancellati: 9 file di Dropbox, 15 di Box e 11 di SugarSync. Sugli iPhone a seconda dell’applicazione e del dispositivo usato è stato possibile recuperare in un caso 5 e in un altro 7 file da Dropbox, 7 e 5 da SugarSync e 5 da Box. Non è stato invece possibile eseguire il recovering di file cancellati direttamente dal dispositivo.
I ricercatori sono stati in grado di recuperare su entrambi i dispositivi metadati quali log concernenti l’attività dell’utente, metadati riguardanti i servizi di storage e informazioni sulle applicazioni usate dall’utente. La cache usata dai programmi, influisce molto sui dati che è possibile recuperare: se un file è visualizzato nel dispositivo, viene in qualche modo memorizzato per velocizzare la successiva visualizzazione ed è più facile recuperarlo.
Le ricerche sono state eseguite usando l’HTC Desire con Android 2.1; sull’iPhone era installato iOS 3; non è chiaro se le versioni più recenti dei sistemi operativi in questione soffrano di problematiche simili. Sarebbe curioso estendere la ricerca anche ad altre piattaforme come Windows Phone e BlackBerry. E’ interessante ad ogni modo notare come sia potenzialmente possibile ottenere di tutto da un dispositivo dimenticato in un posto o rubato.
[A cura di Mauro Notarianni]
