Los investigadores de la Universidad de Purdue están trabajando en una nueva técnica que podría ayudar a las fuerzas del orden público a recopilar datos de los teléfonos inteligentes al investigar delitos.
Un equipo de investigación dirigido por el profesor Dongyan Xu, profesor de ciencias de la computación y director ejecutivo interino del Centro de Educación e Investigación en Aseguramiento y Seguridad de la Información, y su compañero profesor de ciencias de la computación de Purdue, Xiangyu Zhang, detallarán los hallazgos de la técnica, llamada RetroScope, duranteel Simposio de seguridad USENIX en Austin, Texas, del 10 al 12 de agosto.
El uso creciente de la tecnología móvil en la sociedad actual ha hecho que la información almacenada en la memoria de los teléfonos inteligentes sea tan importante como la evidencia recuperada de las escenas tradicionales del crimen.
Xu dijo que RetroScope se desarrolló en los últimos nueve meses como una continuación del trabajo del equipo en el análisis forense de la memoria del teléfono inteligente. La investigación traslada el foco del disco duro del teléfono inteligente, que contiene información después de que el teléfono se apaga, al dispositivoRAM, que es memoria volátil.
"Argumentamos que esta es la frontera en la investigación del delito cibernético en el sentido de que la memoria volátil tiene la información más reciente de la ejecución de todas las aplicaciones", dijo. "Los investigadores pueden obtener información forense más oportuna para resolver un delito oun ataque."
Aunque el contenido de la memoria volátil desaparece tan pronto como se apaga el teléfono, puede revelar cantidades sorprendentes de datos forenses si el dispositivo está funcionando.
La investigación inicial del equipo dio como resultado un trabajo publicado a fines del año pasado que podría recuperar la última pantalla mostrada por una aplicación de Android. Sobre la base de eso, dijo Xu, se descubrió que las aplicaciones dejaban muchos datos en la memoria volátil mucho después de esos datosfue mostrado.
Para descubrir esos datos, el estudiante de doctorado de Purdue, Brendan Saltaformaggio, teorizó que, en lugar de centrarse en la búsqueda de esos datos, el código de representación gráfica del teléfono podría reorientarse a áreas de memoria específicas para obtener y mostrar varias pantallas anteriores mostradas por una aplicación.
RetroScope utiliza el marco de representación común utilizado por Android para emitir un comando de redibujado y obtener tantas pantallas previas como estén disponibles en la memoria volátil para cualquier aplicación de Android. Mejorando en la investigación anterior, RetroScope no requiere información previa sobre la aplicación internadatos.
Las pantallas recuperadas, comenzando con la última pantalla mostrada por la aplicación, se presentan en el orden en que se vieron anteriormente. "Todo lo que se mostraba en la pantalla en el momento del uso se indica mediante las pantallas recuperadas, ofreciendo a los investigadores una letanía deinformación ", dijo Xu.
En las pruebas, RetroScope recuperó entre tres y 11 pantallas anteriores en 15 aplicaciones diferentes, un promedio de cinco páginas por aplicación. Las aplicaciones iban desde las populares plataformas de redes sociales Facebook e Instagram hasta aplicaciones más conscientes de la privacidad y otras. Los investigadores hanpublicó un video de demostración de uno de estos experimentos en YouTube en: http://youtu.be/bsKTmZEgxiE .
"Sentimos sin exagerar que esta tecnología realmente representa un nuevo paradigma en el análisis forense de teléfonos inteligentes", dijo. "Es muy diferente de todas las metodologías existentes para analizar tanto los discos duros como los recuerdos volátiles".
Xu dijo que RetroScope se encarga de mucho "trabajo sucio" manual para un investigador forense de teléfonos inteligentes. Sin embargo, también plantea preguntas sobre cuánto hay disponible para la recuperación del teléfono inteligente de una persona.
"Personalmente me sorprendió la falta de protección de datos de la aplicación en memoria", dijo. "Uno esperaría que estas aplicaciones sensibles a la privacidad hayan destruido más completamente la información que se mostró anteriormente.
"Debería tener la tranquilidad de saber que ninguna de mi información sensible a la privacidad permanece en la memoria en vivo. Sé, al hacer esta investigación, que no obtenemos eso".
Los investigadores de Purdue observaron el problema desde el otro lado, tratando de determinar cómo interrumpir la herramienta RetroScope. Xu y su equipo caracterizaron los esfuerzos para interrumpir RetroScope como una compensación entre privacidad y usabilidad.
"Nos damos cuenta del dilema que surge de poner a cero cada bit y byte de información mostrada anteriormente. Al hacerlo, su aplicación se ejecutará muy lentamente para volver a generar esa información cuando sea necesario nuevamente y la usabilidad de la aplicación se degradará", dijo"No vemos una solución fácil o una forma fácil de evitar esto"
Fuente de la historia :
Materiales proporcionado por Universidad de Purdue . Original escrito por Brian L. Huchel. Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :