Läckta filer visar hur en Cellebrite-telefonuttagsrapport ser ut
On oktober 27, 2021 by admin
(Bild: arkivbild)
Tidigare i år fick vi en rad stora, krypterade filer som påstods tillhöra en amerikansk polismyndighet till följd av ett läckage på en advokatbyrå, som osäkert synkroniserade sina säkerhetskopieringssystem över internet utan lösenord.
Bland filerna fanns en serie telefondumpningar som polisen skapat med specialutrustning som skapats av Cellebrite, ett israeliskt företag som tillhandahåller teknik för att knäcka telefoner.
Det digitala kriminalteknikföretaget har specialiserat sig på att hjälpa polisen att sätta dit skurkarna med hjälp av sin rad olika tekniker. Företaget blev känt tidigare i år när det felaktigt pekades ut som det företag som hjälpte till att låsa upp San Bernardino-skyttens iPhone, samma telefon som ledde till att Apple hamnade i ett rättsligt bråk med FBI.
Därmed inte sagt att Cellebrite inte kunde ha hjälpt till.
Cellebrites arbete är till stor del hemligt, och företaget balanserar på en hårfin linje mellan att avslöja sin kapacitet för att trumma upp affärer och att se till att endast de ”goda killarna” har tillgång till tekniken.
Den amerikanska polisen sägs ha spenderat miljontals kronor på den här typen av teknik för att knäcka telefoner. Och det är inte förvånande, eftersom Cellebrite får resultat.
Det kriminaltekniska företaget hävdar att det kan ladda ner nästan alla data från nästan vilken enhet som helst på uppdrag av polisens underrättelsetjänster i över hundra länder. Det gör det genom att ta en beslagtagen telefon från polisen, sedan koppla in den och extrahera meddelanden, telefonsamtal, röstmeddelanden, bilder med mera från enheten med hjälp av sin egen proprietära teknik.
Det genererar sedan en extraktionsrapport, vilket gör det möjligt för utredare att med en blick se var en person befann sig, vem han eller hon pratade med och när.
Vi fick tag på ett antal av dessa så kallade extraktionsrapporter.
En av de överlägset intressantaste rapporterna var från en iPhone 5 som körde iOS 8. Telefonens ägare använde ingen lösenkod, vilket innebär att telefonen var helt okrypterad.
Här är allt som lagrades på den iPhone 5, inklusive en del raderat innehåll.
(Apples iOS 8 var den första programvaruversionen för iPhone som kom med lösenkodsbaserad kryptering. Det skulle ha varit tillräckligt för att omintetgöra den genomsnittliga telefontjuven, men det hade kanske inte hindrat vissa telefonkryckare med rätt hårdvara. Cellebrite säger att den inte kan knäcka lösenkoderna på iPhone 4s och senare. iPhone 5s-mobiler och senare har en secure enclave co-processor på iPhone 5s huvudprocessorchip, vilket gör det betydligt svårare att knäcka telefoner.)
Telefonen var inkopplad i en Cellebrite UFED-enhet, som i det här fallet var en dedikerad dator på polisavdelningen. Polisen utförde en logisk extraktion, som laddar ner det som finns i telefonens minne vid den aktuella tidpunkten. (Motherboard har mer information om hur Cellebrites extraktionsprocess fungerar.)
I vissa fall innehöll den även data som användaren nyligen hade raderat.
Såvitt vi vet finns det några exempelrapporter som flyter runt på webben, men det är sällsynt att se ett verkligt exempel på hur mycket data som kan sugas ut från en ganska modern enhet.
Vi publicerar några utdrag ur rapporten, med känslig eller identifierbar information redigerad.
Framsida: På rapportens första sida finns brottsbekämpande myndigheters ärendenummer, undersökarens namn och avdelning. Den innehåller också unik identifieringsinformation om enheten.
Enhetsinformation:
Enhetsinformation: Rapporten innehåller information om vem telefonen tillhör, inklusive telefonnummer, registrerat Apple-ID och unika identifierare, t.ex. enhetens IMEI-nummer.
Programvarupluggar för extraktion:
Pluggar: Denna del beskriver hur programvaran fungerar och vad den gör. Den omfattar utvinning av metadata från Quicktime och generering av analyser. Programvaran kan också korsreferera data från enheten för att bygga upp profiler över kontakter, SMS och annan kommunikation.
Platser:
Platser: Programvaran för utvinning registrerar geolokaliseringen för varje foto som tagits och visualiserar den på en karta, så att utredaren kan se var telefonägaren har varit och när.
Meddelanden:
Meddelanden: I den här ”konversations”-vyn kan en utredare se alla textmeddelanden i kronologisk ordning, vilket gör det möjligt att se exakt vad som sades inom en viss tidsperiod.
Användarkonton:
Användarkonton: I den här delen avslöjas telefonägarens användarkonton på telefonen, beroende på hur många appar som är installerade. I det här fallet samlades endast användarnamn och lösenord för Instagram in.
Trådlösa nätverk:
Trådlösa nätverk: Utvinningsprogrammet laddar ner en lista över alla trådlösa nätverk som telefonen anslutit sig till, inklusive deras krypteringstyp och MAC-adressen för nätverkets router samt när telefonen senast anslöt till nätverket.
Samtalslogg:
Samtalslogg: Rapporten innehåller en fullständig lista över samtalsposter, inklusive typ av samtal (inkommande eller utgående), tid, datum och telefonnummer för samtalet samt samtalets längd. Denna typ av information är mycket användbar när den samlas in av underrättelsetjänster.
Kontakter:
Kontakter: Kontakter: Kontakter i telefonen sugs upp av utvinningsprogrammet, inklusive namn, telefonnummer och annan kontaktinformation, t.ex. e-postadresser. Även raderat innehåll kan fortfarande samlas in.
Installerade appar:
Installerade appar: Alla installerade appar, deras version och behörighetsinställningar registreras av utvinningsprogrammet.
Anteckningar:
Anteckningar: Alla installerade appar, deras version och behörighetsinställningar registreras av utvinningsprogrammet: Alla data som skrivs i appen Anteckningar hämtas också. Här har vi redigerat vad som verkar vara bankkontoinformation.
Voicemail:
Voicemail: Voicemeddelanden som lagras i telefonen kan samlas in och laddas ner som ljudfiler. Den innehåller även telefonnumret till den person som lämnade röstmeddelandet och varaktigheten.
Konfigurationer och databaser
Konfigurationer och databaser: Egenskapslistor (”plist”) lagrar appdata på iPhones. Dessa enskilda filer innehåller en mängd information, till exempel konfigurationer, inställningar, alternativ och andra cache-filer.
Aktivitetsanalys:
Aktivitetsanalys: För varje telefonnummer räknar analysmotorn ut hur många associerade åtgärder som har ägt rum, till exempel textmeddelanden eller samtal.
>.
Lämna ett svar