Nueva herramienta forense recuperará datos de la RAM de smartphones, encriptados o no

Encriptación o no, los datos de tu smartphone ahora se recuperarán fácilmente con esta herramienta forense

Si recuerdas el alboroto creado cuando el FBI le pidió a Apple que desbloqueara un iPhone 5c bloqueado perteneciente a un terrorista. La noticia generó tanto revuelo y opiniones que dominó las noticias tecnológicas del mundo durante casi una semana antes de que el FBI contratara discretamente a una empresa con sede en Israel para desbloquear el iPhone del terrorista.

Ahora el FBI o, para el caso, cualquier agencia de aplicación de la ley no tiene que ir a ningún lado para recuperar datos de smartphones bloqueados o encriptados, ya que los investigadores han desarrollado una nueva herramienta forense que recupera datos de la RAM del smartphone llamada Retroscope.

Los investigadores de la Universidad de Purdue han desarrollado una nueva herramienta para recuperar información almacenada en la memoria volátil del smartphone que podría proporcionar pistas importantes a los investigadores para resolver casos criminales. En lugar de intentar desbloquear el disco duro encriptado del smartphone, que contiene información después de que el teléfono se apaga, los investigadores pensaron en profundizar en la RAM, que es volátil. Se piensa generalmente que el contenido de la RAM (Memoria de Acceso Aleatorio) se pierde tan pronto como el smartphone se apaga, pero los investigadores encontraron que podían recuperar una sorprendente cantidad de datos de la RAM incluso si estaba apagada. La investigación inicial del equipo resultó en un trabajo que podría recuperar la última pantalla mostrada por una aplicación de Android.

“Argumentamos que esta es la frontera en la investigación de cibercrímenes en el sentido de que la memoria volátil tiene la información más fresca de la ejecución de todas las aplicaciones”, dijo el investigador principal Dongyan Xu. “Los investigadores pueden obtener información forense más oportuna para resolver un crimen o un ataque”, señaló Xu.

Basándose en su investigación, Xu dijo que se descubrió que las aplicaciones dejaban muchos datos en la memoria volátil mucho después de que esos datos se mostraran. RetroScope utiliza el marco de renderizado común utilizado por Android para emitir un comando de redibujo y obtener tantas pantallas anteriores como estén disponibles en la memoria volátil para cualquier aplicación de Android.

Lo que es más importante para las agencias de aplicación de la ley es que Retroscope no requiere información previa sobre los datos internos de una aplicación. Las pantallas recuperadas, comenzando con la última pantalla que mostró la aplicación, se presentan en el orden en que se vieron anteriormente. “Cualquier cosa que se mostró en la pantalla en el momento de uso está indicada por las pantallas recuperadas, ofreciendo a los investigadores una lista de información”, dijo Xu.

Durante las pruebas, RetroScope pudo recuperar entre tres y 11 pantallas anteriores en 15 aplicaciones diferentes, un promedio de cinco páginas por aplicación. Los hallazgos se presentaron durante el Simposio de Seguridad USENIX en Austin, Texas. “Sentimos sin exagerar que esta tecnología realmente representa un nuevo paradigma en la forensía de smartphones”, dijo.

“Es muy diferente de todas las metodologías existentes para analizar tanto discos duros como memorias volátiles”, señaló Xu.