Nova ferramenta forense irá recuperar dados da RAM de smartphones, criptografados ou não

Criptografia ou não, os dados do seu smartphone agora serão facilmente recuperados com esta ferramenta forense

Se você se lembra da confusão criada quando o FBI pediu à Apple para desbloquear um iPhone 5c bloqueado pertencente a um terrorista. A notícia gerou tanto alvoroço e opiniões que dominou as notícias de tecnologia do mundo por quase uma semana antes que o FBI contratasse discretamente uma empresa baseada em Israel para desbloquear o iPhone do terrorista.

Agora o FBI ou, para esse assunto, qualquer agência de aplicação da lei não precisa ir a lugar nenhum para recuperar dados de smartphones bloqueados ou criptografados, pois pesquisadores desenvolveram uma nova ferramenta forense que recupera dados da RAM de smartphones chamada Retroscope.

Os pesquisadores da Universidade de Purdue desenvolveram uma nova ferramenta para recuperar informações armazenadas na memória volátil do smartphone que pode fornecer pistas importantes para investigadores resolverem casos criminais. Em vez de tentar desbloquear o disco rígido criptografado do smartphone, que mantém informações após o telefone ser desligado, os pesquisadores pensaram em explorar a RAM, que é volátil. Geralmente se pensa que o conteúdo da RAM (Memória de Acesso Aleatório) desaparece assim que o smartphone é desligado, mas os pesquisadores descobriram que poderiam recuperar uma quantidade surpreendente de dados da RAM mesmo que estivesse desligada. A pesquisa inicial da equipe resultou em um trabalho que poderia recuperar a última tela exibida por um aplicativo Android.

“Argumentamos que esta é a fronteira na investigação de crimes cibernéticos no sentido de que a memória volátil contém as informações mais recentes da execução de todos os aplicativos”, disse o pesquisador principal Dongyan Xu. “Os investigadores conseguem obter informações forenses mais oportunas para resolver um crime ou um ataque”, observou Xu.

Baseando-se em sua pesquisa, Xu disse que foi descoberto que os aplicativos deixavam muitos dados na memória volátil muito depois que esses dados foram exibidos. O RetroScope utiliza a estrutura de renderização comum usada pelo Android para emitir um comando de redesenho e obter quantas telas anteriores estiverem disponíveis na memória volátil para qualquer aplicativo Android.

O que é mais importante para as agências de aplicação da lei é que o Retroscope não requer informações anteriores sobre os dados internos de um aplicativo. As telas recuperadas, começando com a última tela exibida pelo aplicativo, são apresentadas na ordem em que foram vistas anteriormente. “Qualquer coisa que foi mostrada na tela no momento do uso é indicada pelas telas recuperadas, oferecendo aos investigadores uma lista de informações”, disse Xu.

Durante os testes, o RetroScope conseguiu recuperar de três a 11 telas anteriores em 15 aplicativos diferentes, uma média de cinco páginas por aplicativo. Os resultados foram apresentados durante o Simpósio de Segurança USENIX em Austin, Texas. “Sentimos, sem exagero, que esta tecnologia realmente representa um novo paradigma em forense de smartphones”, disse ele.

“É muito diferente de todas as metodologias existentes para analisar tanto discos rígidos quanto memórias voláteis”, observou Xu.