새로운 포렌식 도구가 스마트폰 RAM에서 데이터를 복구합니다, 암호화 여부에 관계없이

암호화 여부에 관계없이, 이 포렌식 도구로 스마트폰 데이터를 쉽게 복구할 수 있습니다

애플이 테러리스트의 잠금된 아이폰 5c를 잠금 해제해 달라는 FBI의 요청으로 인해 발생한 소동을 기억하십니까? 이 뉴스는 큰 화제를 일으켰고, FBI가 테러리스트의 아이폰 잠금을 해제하기 위해 이스라엘 기반의 회사와 조용히 계약을 맺기 전까지 거의 일주일 동안 세계 기술 뉴스의 중심에 있었습니다.

이제 FBI나 다른 법 집행 기관은 잠금 해제된 스마트폰이나 암호화된 스마트폰에서 데이터를 복구하기 위해 어디론가 갈 필요가 없습니다. 연구자들은 Retroscope라는 새로운 포렌식 도구를 개발했습니다.

퍼듀 대학교의 연구자들은 스마트폰의 휘발성 메모리에 저장된 정보를 복구하는 새로운 도구를 개발했습니다. 이는 수사관들에게 범죄 사건을 해결하는 데 중요한 단서를 제공할 수 있습니다. 연구자들은 스마트폰이 꺼진 후 정보를 보관하는 암호화된 스마트폰의 하드 드라이브를 잠금 해제하려고 시도하는 대신 휘발성 메모리인 RAM을 조사하기로 결정했습니다. 일반적으로 RAM(랜덤 액세스 메모리)의 내용은 스마트폰이 꺼지면 사라지는 것으로 생각되지만, 연구자들은 스마트폰이 꺼져 있어도 RAM에서 놀라운 양의 데이터를 복구할 수 있다는 것을 발견했습니다. 팀의 초기 연구는 안드로이드 애플리케이션에서 마지막으로 표시된 화면을 복구하는 작업으로 이어졌습니다.

“우리는 휘발성 메모리가 모든 앱 실행의 최신 정보를 가지고 있다는 점에서 사이버 범죄 수사의 최전선이라고 주장합니다.”라고 수석 연구원인 동얀 쉬가 말했습니다. “수사관들은 범죄나 공격을 해결하는 데 더 시의적절한 포렌식 정보를 얻을 수 있습니다.”라고 쉬는 덧붙였습니다.

연구를 바탕으로 쉬는 앱이 데이터가 표시된 후에도 휘발성 메모리에 많은 데이터를 남긴다는 것을 발견했습니다. RetroScope는 안드로이드에서 사용되는 일반적인 렌더링 프레임워크를 활용하여 다시 그리기 명령을 발행하고 모든 안드로이드 앱의 휘발성 메모리에서 가능한 많은 이전 화면을 얻습니다.

법 집행 기관에 더 중요한 것은 Retroscope가 앱의 내부 데이터에 대한 이전 정보가 필요하지 않다는 것입니다. 복구된 화면은 앱이 마지막으로 표시한 화면부터 시작하여 이전에 본 순서대로 제시됩니다. “사용 시 화면에 표시된 모든 것은 복구된 화면에 의해 나타나며, 수사관들에게 많은 정보를 제공합니다.”라고 쉬가 말했습니다.

테스트 중 RetroScope는 15개의 다양한 앱에서 3개에서 11개의 이전 화면을 복구할 수 있었으며, 앱당 평균 5페이지를 복구했습니다. 이 결과는 텍사스 오스틴에서 열린 USENIX 보안 심포지엄에서 발표되었습니다. “우리는 이 기술이 스마트폰 포렌식의 새로운 패러다임을 나타낸다고 과장 없이 느낍니다.”라고 그는 말했습니다.

“이는 하드 드라이브와 휘발성 메모리를 분석하는 기존의 모든 방법론과 매우 다릅니다.”라고 쉬는 언급했습니다.