新しい法医学ツールがスマートフォンのRAMからデータを回復、暗号化されていても

暗号化されていても、あなたのスマートフォンデータはこの法医学ツールで簡単に回復されます

もし、テロリストのものとされるロックされたiPhone 5cの解除をFBIに求められたAppleに関する騒動を覚えているなら、そのニュースはほぼ1週間にわたり世界のテクノロジーニュースを支配するほどの注目を集めました。その後、FBIは静かにイスラエルの企業に契約してテロリストのiPhoneを解除させました。

現在、FBIや他の法執行機関は、ロックされたり暗号化されたスマートフォンからデータを回復するためにどこにも行く必要がなくなりました。研究者たちは、Retroscopeと呼ばれるスマートフォンのRAMからデータを回復する新しい法医学ツールを開発しました。

パデュー大学の研究者たちは、スマートフォンの揮発性メモリに保存された情報を回復するための新しいツールを開発しました。これは、犯罪事件を解決するための重要な手がかりを捜査官に提供する可能性があります。スマートフォンのハードドライブを解除しようとする代わりに、研究者たちは揮発性のRAMに目を向けました。一般的に、RAM（ランダムアクセスメモリ）の内容はスマートフォンがシャットダウンされると消えてしまうと考えられていますが、研究者たちは、電源が切れていてもRAMから驚くほどのデータを回復できることを発見しました。チームの初期の研究は、Androidアプリケーションによって表示された最後の画面を回復することができる作業につながりました。

「私たちは、揮発性メモリがすべてのアプリの実行からの最新の情報を持っているという意味で、サイバー犯罪捜査の最前線であると主張します」と主研究者のドンヤン・シューは述べました。「捜査官は、犯罪や攻撃を解決するためのよりタイムリーな法医学情報を取得できる」とシューは指摘しました。

研究を進める中で、シューは、アプリが表示されたデータが揮発性メモリに長い間残ることが発見されました。RetroScopeは、Androidが再描画コマンドを発行し、任意のAndroidアプリの揮発性メモリに利用可能な以前の画面をできるだけ多く取得するために使用する一般的なレンダリングフレームワークを利用します。

法執行機関にとってさらに重要なのは、Retroscopeがアプリの内部データに関する事前情報を必要としないことです。回復された画面は、アプリが表示した最後の画面から始まり、以前に見た順序で提示されます。「使用時に画面に表示されたものは、回復された画面によって示され、捜査官に多くの情報を提供します」とシューは述べました。

テスト中、RetroScopeは15の異なるアプリで3から11の以前の画面を回復することができ、アプリごとに平均5ページを回復しました。この発見は、テキサス州オースティンで開催されたUSENIXセキュリティシンポジウムで発表されました。「私たちは、この技術がスマートフォンの法医学における新しいパラダイムを本当に表していると誇張せずに感じています」と彼は言いました。

「これは、ハードドライブと揮発性メモリの両方を分析する既存のすべての方法論とは非常に異なります」とシューは指摘しました。