Nuovo strumento forense recupererà dati dalla RAM degli smartphone, criptati o meno

Criptazione o meno, i dati del tuo smartphone saranno ora facilmente recuperati con questo strumento forense

Se ricordi il trambusto creato quando l’FBI ha chiesto ad Apple di sbloccare un iPhone 5c bloccato appartenente a un terrorista. La notizia ha generato tanto clamore e opinioni che ha dominato le notizie tecnologiche mondiali per quasi una settimana prima che l’FBI contrattasse silenziosamente un’azienda con sede in Israele per sbloccare l’iPhone del terrorista.

Ora l’FBI o, per quel che riguarda, qualsiasi agenzia di law enforcement non deve andare da nessuna parte per recuperare dati da smartphone bloccati o criptati, poiché i ricercatori hanno sviluppato un nuovo strumento forense che recupera dati dalla RAM degli smartphone chiamato Retroscope.

I ricercatori della Purdue University hanno sviluppato un nuovo strumento per recuperare informazioni memorizzate nella memoria volatile degli smartphone che potrebbe fornire agli investigatori indizi importanti per risolvere casi criminali. Invece di cercare di sbloccare l’hard drive criptato dello smartphone, che conserva informazioni dopo che il telefono è spento, i ricercatori hanno pensato di esplorare la RAM, che è volatile. Si pensa generalmente che i contenuti della RAM (Random Access Memory) siano persi non appena lo smartphone viene spento, ma i ricercatori hanno scoperto di poter recuperare una sorprendente quantità di dati dalla RAM anche se era spento. La ricerca iniziale del team ha portato a un lavoro che potrebbe recuperare l’ultima schermata visualizzata da un’applicazione Android.

“Affermiamo che questa è la frontiera nell’indagine sui crimini informatici nel senso che la memoria volatile ha le informazioni più fresche dall’esecuzione di tutte le app,” ha detto il ricercatore principale Dongyan Xu. “Gli investigatori sono in grado di ottenere informazioni forensi più tempestive per risolvere un crimine o un attacco,” ha osservato Xu.

Basandosi sulla loro ricerca, Xu ha detto che è stato scoperto che le app lasciavano molti dati nella memoria volatile a lungo dopo che quei dati erano stati visualizzati. RetroScope sfrutta il comune framework di rendering utilizzato da Android per emettere un comando di ridisegno e ottenere quante più schermate precedenti disponibili nella memoria volatile per qualsiasi app Android.

Ciò che è più importante per le agenzie di law enforcement è che Retroscope non richiede alcuna informazione precedente sui dati interni di un’app. Le schermate recuperate, a partire dall’ultima schermata visualizzata dall’app, sono presentate nell’ordine in cui sono state viste in precedenza. “Qualsiasi cosa fosse mostrata sullo schermo al momento dell’uso è indicata dalle schermate recuperate, offrendo agli investigatori una serie di informazioni,” ha detto Xu.

Durante i test, RetroScope è stato in grado di recuperare da tre a 11 schermate precedenti in 15 diverse app, con una media di cinque pagine per app. I risultati sono stati presentati durante il USENIX Security Symposium ad Austin, Texas. “Ci sentiamo senza esagerare che questa tecnologia rappresenta davvero un nuovo paradigma nella forense degli smartphone,” ha detto.

“È molto diversa da tutte le metodologie esistenti per analizzare sia gli hard drive che le memorie volatili,” ha osservato Xu.