Uitgelekte bestanden laten zien hoe een Cellebrite-telefoon-extractierapport eruitziet
On oktober 27, 2021 by admin
(Afbeelding: bestandsfoto)
Eerder dit jaar kregen we een reeks grote, versleutelde bestanden toegestuurd die naar verluidt toebehoorden aan een Amerikaanse politieafdeling als gevolg van een lek bij een advocatenkantoor, dat zijn back-upsystemen zonder wachtwoord op onveilige wijze via internet synchroniseerde.
Onder de bestanden was een reeks van telefoondumps gemaakt door de politie-afdeling met gespecialiseerde apparatuur, die was gemaakt door Cellebrite, een Israëlisch bedrijf dat telefoonkraaktechnologie levert.
Het digitale forensische bedrijf is gespecialiseerd in het helpen van de politie bij het oppakken van de slechteriken met zijn scala aan technologieën. Het werd eerder dit jaar beroemd toen het ten onrechte werd aangewezen als het bedrijf dat hielp bij het ontgrendelen van de iPhone van de San Bernardino-schutter, dezelfde telefoon die Apple verwikkelde in een juridische brouhaha met de FBI.
Dat wil niet zeggen dat Cellebrite niet had kunnen helpen.
Cellebrite’s werk is grotendeels geheim, en het bedrijf balanceert op een dunne lijn tussen het onthullen van zijn capaciteiten om zaken te doen en ervoor te zorgen dat alleen de “good guys” toegang hebben tot zijn technologie.
Er wordt gezegd dat de Amerikaanse politie miljoenen heeft uitgegeven aan dit soort telefoonkrakende technologie. En dat is niet verwonderlijk, want Cellebrite boekt resultaten.
Het forensisch bedrijf beweert dat het bijna elk greintje gegevens van bijna elk apparaat kan downloaden namens politie-inlichtingendiensten in meer dan honderd landen. Het doet dat door een in beslag genomen telefoon van de politie te nemen, deze vervolgens in te pluggen en berichten, telefoongesprekken, voicemails, afbeeldingen en meer van het apparaat te extraheren met behulp van zijn eigen gepatenteerde technologie.
Het genereert vervolgens een extractierapport, waarmee onderzoekers in één oogopslag kunnen zien waar een persoon was, met wie ze spraken en wanneer.
We hebben een aantal van deze zogenaamde extractierapporten verkregen.
Een van de interessantere rapporten was verreweg van een iPhone 5 met iOS 8. De eigenaar van de telefoon gebruikte geen wachtwoord, wat betekent dat de telefoon volledig onversleuteld was.
Hier is alles wat was opgeslagen op die iPhone 5, inclusief een aantal verwijderde gegevens.
(Apple’s iOS 8 was de eerste iPhone-softwareversie met versleuteling op basis van een wachtwoordcode. Het zou genoeg zijn geweest om de gemiddelde telefoondief te dwarsbomen, maar het zou sommige telefoonkrakers met de juiste hardware misschien niet hebben gehinderd. Cellebrite zegt dat het de passcodes van de iPhone 4s en later niet kan kraken. iPhone 5s handsets en later worden geleverd met een secure enclave co-processor op de hoofdprocessor chip van de iPhone 5s, die het kraken van telefoons aanzienlijk moeilijker maakt.)
De telefoon werd aangesloten op een Cellebrite UFED-apparaat, dat in dit geval een speciale computer op de politieafdeling was. De politieagent voerde een logische extractie uit, die downloadt wat er op dat moment in het geheugen van de telefoon zit. (Motherboard heeft meer over hoe Cellebrite’s extractieproces werkt.)
In sommige gevallen bevatte het ook gegevens die de gebruiker onlangs had verwijderd.
Voor zover wij weten, zijn er een paar voorbeeldrapporten die op het web zweven, maar het is zeldzaam om een real-world voorbeeld te zien van hoeveel gegevens kunnen worden overgeheveld van een vrij modern apparaat.
Wij publiceren enkele fragmenten uit het rapport, waarbij gevoelige of identificeerbare informatie is weggelaten.
Voorkant: de eerste pagina van het rapport bevat het zaaknummer van de wetshandhavingsinstantie, de naam van de onderzoeker en de afdeling. Het bevat ook unieke identificatiegegevens van het toestel.
Informatie over het toestel:
Informatie over het toestel: In dit rapport wordt gedetailleerd beschreven van wie de telefoon is, met inbegrip van het telefoonnummer, de geregistreerde Apple ID en unieke identificatiegegevens, zoals het IMEI-nummer van het apparaat.
Invoegtoepassingen voor de extractiesoftware:
Invoegtoepassingen: In dit deel wordt beschreven hoe de software werkt en wat deze doet. Het omvat Quicktime metadata-extractie en het genereren van analyses. De software kan ook kruisverwijzingen aanbrengen tussen gegevens van het apparaat om profielen op te bouwen van contacten, sms-berichten en andere communicatie.
Locaties:
Locaties: de extractiesoftware registreert de geolocatie van elke foto die is genomen en visualiseert deze op een kaart, zodat de onderzoeker kan zien waar de eigenaar van de telefoon is geweest en wanneer.
Berichten:
Berichten: In deze “conversatie”-weergave kan een onderzoeker alle tekstberichten in chronologische volgorde zien, zodat hij precies kan zien wat er binnen een bepaalde periode is gezegd.
Gebruikersaccounts:
Gebruikersaccounts: dit gedeelte onthult de gebruikersaccounts van de eigenaar van de telefoon op de telefoon, afhankelijk van hoeveel apps er zijn geïnstalleerd. In dit geval werden alleen een gebruikersnaam en wachtwoord voor Instagram verzameld.
Draadloze netwerken:
Draadloze netwerken: de extractiesoftware downloadt een lijst met alle draadloze netwerken waarmee de telefoon verbinding heeft gemaakt, inclusief hun coderingstype en het MAC-adres van de router van het netwerk, en wanneer de telefoon voor het laatst verbinding heeft gemaakt met het netwerk.
Oproeplog:
Oproeplog: Dit rapport bevat een volledige lijst met gespreksrecords, inclusief het soort oproep (inkomend of uitgaand), de tijd, de datum en het telefoonnummer van de oproep, en de duur van de oproep. Dit soort informatie is zeer nuttig bij het verzamelen door inlichtingendiensten.
Contacten:
Contacten: Contacten in de telefoon worden door de extractiesoftware opgezogen, inclusief namen, telefoonnummers en andere contactinformatie, zoals e-mailadressen. Zelfs verwijderde inhoud kan nog worden verzameld.
Geïnstalleerde apps:
Geïnstalleerde apps: Alle geïnstalleerde apps, hun versie en machtigingsinstellingen worden geregistreerd door de extractiesoftware.
Notities:
Notities: Alle gegevens die in de Notes-app zijn geschreven, worden ook gedownload. Hier hebben we wat bankgegevens lijkt te zijn, geredigeerd.
Voicemail:
Voicemail: voicemails die op de telefoon zijn opgeslagen, kunnen worden verzameld en gedownload als audiobestanden. Het bevat ook het telefoonnummer van de persoon die de voicemail heeft achtergelaten en de duur.
Configuraties en databases
Configuraties en databases: in eigenschappenlijsten (“plist”) worden app-gegevens op iPhones opgeslagen. Deze afzonderlijke bestanden bevatten een schat aan informatie, zoals configuraties, instellingen, opties en andere cache-bestanden.
Activiteitsanalyses:
Activiteitsanalyses: voor elk telefoonnummer achterhaalt de analysemotor hoeveel bijbehorende acties hebben plaatsgevonden, zoals sms-berichten of oproepen.
Geef een antwoord