Skip to main content
QUICK REVIEW

[論文レビュー] Mobile cloud forensics: An analysis of seven popular Android apps

Ben Martini, Quang Do|arXiv (Cornell University)|Jan 1, 2015
Digital and Cyber Forensics参考文献 1被引用数 25
ひとこと要約

本研究では、Martiniら(2015)の法医学的手法を用いて、7つの人気のあるAndroidクラウドベースアプリを分析し、プライベートアプリストレージ、SDカード、データベース、AccountManagerデータからデジタルアーカイブを同定および抽出した。主な貢献は、ユーザー認証資格情報も含めた各アプリのデータ保持に関する詳細な法医学的プロファイルの提供であり、モバイルクラウド法医学におけるデジタル証拠収集の向上に寄与する。

ABSTRACT

Using the evidence collection and analysis methodology for Android devices proposed by Martini et al. (2015) , we examined and analyzed seven popular Android cloud-based apps. First, we analyzed each app in order to see what information could be obtained from their private app storage and SD card directories. We collated the information and used it to aid our investigation of each app’s database files and AccountManager data. To complete our understanding of the forensic artifacts stored by apps we analyzed, we performed further analysis on the apps to determine if the user’s authentication credentials could be collected for each app based on the information gained in the initial analysis stages. The contributions of this research include a detailed description of artifacts, which are of general forensic interest, for each app analyzed.

研究の動機と目的

  • 人気のあるAndroidクラウドベースのアプリケーションに格納されたデータの法医学的意義を調査すること。
  • 7つのアプリケーションにおいて、プライベートアプリストレージ、SDカード、データベース、AccountManagerデータからデジタルアーカイブを同定および抽出すること。
  • アプリ固有のデータ構造から、ユーザー認証資格情報が回復可能かどうかを特定すること。
  • デジタル捜査に使用可能な、アプリ固有の包括的な法医学的アーカイブプロファイルを提供すること。

提案手法

  • 基礎的フレームワークとして、Martiniら(2015)のAndroidデジタル法医学手法を適用した。
  • 各アプリのプライベートストレージおよびSDカードディレクトリに対する静的および動的解析を実施し、法医学的アーカイブの位置を特定した。
  • データベースファイルおよびAccountManagerエントリを検査し、ユーザー固有およびセッション関連データを抽出した。
  • ストレージおよびデータベース解析の結果を照合し、認証資格情報の回収可能性を評価した。
  • 逆アセンブリおよびログ解析を用いて、機密データの永続性および露出状況を検証した。

実験結果

リサーチクエスチョン

  • RQ1人気のあるAndroidクラウドアプリのプライベートストレージおよびSDカードディレクトリに、どのような種類のデジタル法医学的アーカイブが保持されているか?
  • RQ2データベースファイルおよびAccountManagerデータから、認証トークンや資格情報などの法医学的アーカイブは、どの程度抽出可能か?
  • RQ3分析対象アプリから、ユーザー認証資格情報はどの程度回復可能か?
  • RQ4これらのアプリのデータ保持実務は、モバイルクラウド法医学捜査にどのように影響を与えるか?

主な発見

  • 分析対象の7つのAndroidクラウドアプリすべてが、キャッシュされたユーザーデータおよびセッショントークンを含む、プライベートアプリストレージおよびSDカードディレクトリに法医学的アーカイブを保持していた。
  • アプリ間のデータベースファイルには、ログイン識別子および暗号化された資格情報も含む構造化されたユーザー情報が格納されており、法医学的解析によってアクセス可能であった。
  • AccountManagerデータは、保存済みの認証トークンを示しており、ユーザーのセッションを事後的に再構築可能であることを示した。
  • 特に暗号化が弱いか、不適切に実装された場合、アプリ固有のデータ構造の解析により、ユーザー認証資格情報が一部のアプリから回復可能であった。
  • アプリ間で一貫したデータ永続化のパターンが同定され、類似した捜査に再利用可能な法医学的フレームワークの構築が可能となった。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。