Новый судебно-медицинский инструмент восстановит данные из оперативной памяти смартфона, зашифрованные или нет

Зашифровано или нет, ваши данные на смартфоне теперь легко восстановить с помощью этого судебно-медицинского инструмента

Если вы помните шум, поднятый вокруг запроса ФБР к Apple разблокировать заблокированный iPhone 5c, принадлежащий террористу. Новости вызвали такой ажиотаж и мнения, что они доминировали в мировых технологических новостях почти неделю, прежде чем ФБР тихо заключило контракт с израильской компанией на разблокировку iPhone террориста.

Теперь ФБР или, в общем, любое правоохранительное агентство не нужно никуда идти, чтобы восстановить данные из заблокированных или зашифрованных смартфонов, так как исследователи разработали новый судебно-медицинский инструмент, который восстанавливает данные из оперативной памяти смартфона, названный Retroscope.

Исследователи из Университета Пердью разработали новый инструмент для восстановления информации, хранящейся в нестабильной памяти смартфона, который может дать следователям важные подсказки для решения уголовных дел. Вместо того чтобы пытаться разблокировать жесткий диск зашифрованного смартфона, который хранит информацию после выключения телефона, исследователи решили углубиться в оперативную память, которая является нестабильной. Обычно считается, что содержимое оперативной памяти (ОЗУ) исчезает, как только смартфон выключается, но исследователи обнаружили, что они могут восстановить удивительное количество данных из ОЗУ, даже если оно было выключено. Ранние исследования команды привели к работе, которая могла восстановить последний экран, отображаемый приложением Android.

«Мы утверждаем, что это граница в расследовании киберпреступлений в том смысле, что нестабильная память содержит самую свежую информацию о выполнении всех приложений», - сказал ведущий исследователь Донгянь Сюй. «Следователи могут получить более актуальную судебно-медицинскую информацию для решения преступления или атаки», - отметил Сюй.

Основываясь на своих исследованиях, Сюй сказал, что было обнаружено, что приложения оставляют много данных в нестабильной памяти задолго после того, как эти данные были отображены. RetroScope использует общую графическую подсистему, используемую Android, чтобы выдать команду перерисовки и получить как можно больше предыдущих экранов, доступных в нестабильной памяти для любого приложения Android.

Что более важно для правоохранительных органов, так это то, что Retroscope не требует предварительной информации о внутренних данных приложения. Восстановленные экраны, начиная с последнего экрана, который отображалось приложение, представлены в порядке, в котором они были видны ранее. «Все, что отображалось на экране во время использования, указано восстановленными экранами, предлагая следователям множество информации», - сказал Сюй.

Во время тестирования RetroScope смог восстановить от трех до 11 предыдущих экранов в 15 различных приложениях, в среднем по пять страниц на приложение. Результаты были представлены на симпозиуме по безопасности USENIX в Остине, штат Техас. «Мы считаем без преувеличения, что эта технология действительно представляет собой новую парадигму в судебной экспертизе смартфонов», - сказал он.

«Это очень отличается от всех существующих методологий анализа как жестких дисков, так и нестабильной памяти», - отметил Сюй.