Forensisch onderzoekers halen probleemloos data uit beschoten smartphone

Het National Institute of Standards and Technology (NIST) heeft onderzoek gedaan aan de gereedschappen die de Amerikaanse opsporingsdiensten gebruiken om gegevens uit persoonlijke elektronica te destilleren. Het doel was de effectiviteit en betrouwbaarheid te testen. Dat is nodig om in de rechtszaak met zekerheid te kunnen stellen dat de gegevens die op die manier worden uitgelezen, rechtmatig bewijs zijn.

De onklaar gemaakte smartphones starten doorgaans niet meer op. Ook zijn de poorten waarlangs data verzameld kan worden vaak kapot gemaakt. Dus moet eerst contact gemaakt worden met elektronica. Daarvoor zijn twee methoden: de eerste heet JTAG (Joint Task Action groep) waarbij gebruik gemaakt wordt van de speciale pinnetjes die producenten aan de chips maken om deze te testen voor ze gemonteerd worden. Die pennetjes geven toegang tot de data.

De tweede methode maakt gebruik van de pinnetjes waarmee de chip communiceert met het moederbord. Omdat het lostrekken van de chip vaak de pinnetjes beschadigt, wordt de drager van de chip voorzichtig weggefreesd.

Reconstructie uit ruwe data

Het onderzoek richtte zich vooral op de gereedschappen die vervolgens door de opsporingsdiensten worden ingezet om bruikbare informatie te destilleren uit de ruwe data. Ze zijn dan met name geïnteresseerd in de contacten, GPS-informatie, berichten van sociale media, foto's en teksten. Het onderzoek beperkte zich tot toegang tot data; het richtte zich niet op het ontsleutelen van encryptie.

Voor het onderzoek werden op 10 populaire Android-toestellen dezelfde data gezet door met een auto rond te rijden met de telefoons op het dashboard; er werd een aantal identieke post geplaatst en foto's gemaakt.

Vervolgens werd gekeken of met acht verschillende softwareproducten dezelfde gegevens weer uit de telefoons waren te reconstrueren. Uit het onderzoek bleek dat de methode waarmee de ruwe data werd verzameld niet veel verschilde. Ook konden alle acht de gereedschappen de data weer reconstrueren, maar zat er wel verschil in de volledigheid met name van socialemediaberichten.

De volledige testresultaten zijn te vinden op de site van het Department of Home Security.