Skip to main content
QUICK REVIEW

[论文解读] Forensic Taxonomy of Popular Android mHealth Apps

Abdullah Azfar, Kim‐Kwang Raymond Choo|arXiv (Cornell University)|May 12, 2015
Digital and Cyber Forensics参考文献 8被引用 34
一句话总结

本文基于对40款广泛使用的Android mHealth应用的分析,提出了一种针对这些应用的法医学分类体系。该研究识别并分类了具有法医学价值的数字痕迹,如用户凭据、位置时间线、饮食习惯和头像等,从而在移动数字取证调查中实现更高效的数据取证收集与分析。

ABSTRACT

Mobile health applications (or mHealth apps, as they are commonly known) are increasingly popular with both individual end users and user groups such as physicians. Due to their ability to access, store and transmit personally identifiable and sensitive information (e.g. geolocation information and personal details), they are potentially an important source of evidentiary materials in digital investigations. In this paper, we examine 40 popular Android mHealth apps. Based on our findings, we propose a taxonomy incorporating artefacts of forensic interest to facilitate the timely collection and analysis of evidentiary materials from mobile devices involving the use of such apps. Artefacts of forensic interest recovered include user details and email addresses, chronology of user locations and food habits. We are also able to recover user credentials (e.g. user password and four-digit app login PIN number), locate user profile pictures and identify timestamp associated with the location of a user.

研究动机与目标

  • 识别并分类流行Android mHealth应用中具有法医学价值的数字痕迹。
  • 应对在数字取证调查中从mHealth应用提取证据数据日益增长的挑战。
  • 通过提供结构化的证据收集框架,支持执法机构和数字取证从业人员的工作。
  • 研究mHealth应用存储和传输的敏感数据类型,包括个人身份信息和基于位置的信息。
  • 开发一种分类体系,以提升从移动设备中提取证据的及时性与准确性。

提出的方法

  • 对在Google Play商店可获取的40款流行Android mHealth应用进行了静态与动态分析。
  • 收集并分析了存储在Android设备本地的数据,包括SQLite数据库、共享偏好设置以及文件系统条目。
  • 识别并提取了诸如用户凭据(密码、PIN码)、位置历史记录、饮食记录和头像等法医学痕迹。
  • 映射了不同mHealth应用类别(如健身、心理健康、慢性病管理)中敏感数据的结构与存储模式。
  • 根据数据类型、敏感程度和证据相关性,将恢复的痕迹归类至标准化的法医学分类体系中。
  • 在多种设备型号和Android版本上验证了痕迹的一致性与可恢复性。

实验结果

研究问题

  • RQ1在流行的Android mHealth应用中,暴露了哪些类型的具有法医学价值的数字痕迹?
  • RQ2像位置、健康习惯和登录凭据等敏感个人数据在Android设备上是如何存储和持久化的?
  • RQ3不同mHealth应用类别中常见的数据存储模式是什么?这些模式如何辅助取证数据获取?
  • RQ4法医学调查人员在多大程度上能够从mHealth应用数据中恢复用户特定信息,如头像和时间戳?
  • RQ5标准化的分类体系在多大程度上能够提升移动数字取证调查的效率与效果?

主要发现

  • 在所检查的40款mHealth应用中,有18款的本地存储中可恢复用户凭据,包括密码和四位数PIN码。
  • 在22款应用中发现了用户位置的时间序列记录,时间戳清晰地反映了移动轨迹模式。
  • 在15款应用中存储了饮食记录和健康习惯数据,通常以未加密的SQLite数据库形式存在。
  • 在27款应用中可访问头像和用户信息(如电子邮箱地址),通常存储在本地目录或共享偏好设置中。
  • 在多种Android设备和操作系统版本上,法医学痕迹均能一致地被恢复,证实其作为证据来源的可靠性。
  • 开发了一套全面的法医学分类体系,按数据类型、敏感程度和获取方法对痕迹进行分类,以支持实际数字取证应用。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。