5 Kết luận & Hướng phát triển
2.6 Cấu trúc thư mục database của ứng dụng Android Browser
5. Network
Phương thức lưu trữ này thực sự hữu ích trong thời đại điện toán đám mây ngày nay. Các lập trình viên có thể sử dụng các classes và phương thức trong hai package java.net.* và android.net.* để tương tác với network, web servers. Các ứng dụng tương tác với network cần thiết nhiều mã lệnh, trong khi các dữ liệu có thể không được lưu trữ trên thiết bị. Do đó, thông tin cấu hình và các file database là những thông tin quan trọng cần khai thác nhất đối với các ứng dụng network.
Dropbox hiện tại là một ứng dụng file sharing khá phổ biến trên các nhiều nền tảng khác nhau. Trên Android, ứng dụng được cài đặt khoảng 100 triệu lần với gần 175000 người dùng đánh giá 5 sao.1 Sau khi cài đặt, chúng ta có thể tìm thấy thư mục dữ liệu của ứng dụng tại /data/data/- com.dropbox.android.
Dữ liệu có thể được phát hiện ở ít nhất bốn trong năm phương thức này [12]. Ngoài ra, Linux kernel và Android stack còn cung cấp thông tin thông qua các
file logs, debugging và các services. Tất nhiên, mặc định hầu hết những dữ liệu quan trọng chỉ có thể đọc được khi chúng ta có quyền root user. Tận dụng khai thác những dữ liệu này, chúng ta có thể tìm được nhiều thông tin nhạy cảm của người dùng. Điều này giúp ích cho các cơ quan pháp chứng và hỗ trợ người dùng tìm kiếm thiết bị một cách dễ dàng và chính xác hơn.
2.6.3 Android Rooting và ảnh hưởng của nó đến mobileforensics forensics
Như đã trình bày ở phần trên các thông tin quan trọng và nhạy cảm của người dùng đều được lưu trữ tại bộ nhớ của thiết bị hoặc thẻ nhớ SD Card. Không giống như các hệ điều hành máy tính, mặc định một ứng dụng Android không thể tự động truy cập đến dữ liệu hoặc các files được tạo bởi một ứng dụng Android khác. Bản chất máy ảo Android chỉ cho phép mỗi ứng dụng chạy trên tiến trình riêng của mình. Bảo mật trên nền tảng Android dựa vào các quyền hạn được gán bởi người dùng hoặc định danh nhóm người dùng trên các ứng dụng. Một ứng dụng không thể can thiệp đến dữ liệu của một ứng dụng khác khi mà nó không được cấp quyền để làm thế1[15]. Ngoài ra, các thông tin được ẩn và không thể can thiệp bởi người dùng thiết bị. Tuy nhiên, nếu người dùng thực hiện rooting thiết bị, việc đọc và tìm kiếm những dữ liệu lại trở thành dễ dàng.
Rooting một thiết bị chỉ đơn thuần có nghĩa là cho phép thiết bị đạt được quyền truy cập đến thư mục root (/) và có những quyền hạn của root user. Một số người dùng thích sửa đổi các thiết bị vượt ra ngoài ý định của các nhà sản xuất thiết bị hoặc nhà cung cấp. Họ sử dụng thuật ngữ rooting mang ý nghĩa truy cập được vào thư mục gốc và các quyền hạn để thực hiện chỉnh sửa thiết bị một cách đáng kể nhằm tăng thời lượng sử dụng pin hoặc tăng hiệu suất của thiết bị, cài đặt và chạy các ứng dụng yêu cầu quyền root, sử dụng Wifi Hotspot, cài đặt firmware tùy chỉnh trên thiết bị.2 Dễ nhận thấy, thay đổi dữ liệu theo cách như vậy không phải là những thông tin pháp lý đáng giá và sẽ không được thực hiện trong một cuộc điều tra[15]. Thay vào đó, việc truy xuất và lấy được dữ liệu của những ứng dụng cài đặt trên thiết bị đã rooted rất đáng quan tâm. Đó là những thông tin rất hữu ích cho quá trình điều tra.
Thật vậy, Hoog [12] cho biết trình duyệt mặc định Android lưu trữ password 1Những quyền hạn này được khai báo bởi lập trình viên trong file AndroidManifest.xml 2http://lifehacker.com/5342237/five-great-reasons-to-root-your-%
dưới dạng plaintext cùng với dữ liệu về username và đường dẫn URL. Đúng như mong đợi, sau vài bước tìm kiếm, tác giả đã nắm giữ nhiều thông tin tài khoản đã từng sử dụng được sử dụng trên thiết bị (hình 2.7). Bên cạnh đó, các thông tin khác về lịch sử duyệt web, lịch sử tìm kiếm, bookmark cũng được tìm thấy trên một file databases khác (hình 2.8). Điều này là rất hữu ích cho các giám định pháp chứng mặc dù một thực tế bảo mật kém từ góc độ người dùng.