PDF -investigación forense, a incidentes en dispositivos móviles - Forense Movil
Wait Loading...


PDF :1 PDF :2 PDF :3 PDF :4 PDF :5


Like and share and download

Forense Movil

investigación forense, a incidentes en dispositivos móviles

PDF Análisis Forense de Dispositivos Móviles Android Vincenzo Mendillomendillo info Análisis 20forense 20de 20dispositivos 20móviles 20 20V 20Mendillo pdf PDF Análisis forense en dispositivos móviles iOS y Androidopenaccess uoc edu webapps o2 6 malvarezmuTFG0116memoria pdf PDF LA

Related PDF

Análisis Forense de Dispositivos Móviles Android - Vincenzo Mendillo

[PDF] Análisis Forense de Dispositivos Móviles Android Vincenzo Mendillomendillo info Análisis 20forense 20de 20dispositivos 20móviles 20 20V 20Mendillo pdf
PDF

Análisis forense en dispositivos móviles iOS y Android

[PDF] Análisis forense en dispositivos móviles iOS y Androidopenaccess uoc edu webapps o2 6 malvarezmuTFG0116memoria pdf
PDF

LA SOLUCIÓN FORENSE MÓVIL UFED BASADA EN SOFTWARE

[PDF] LA SOLUCIÓN FORENSE MÓVIL UFED BASADA EN SOFTWARE onretrieval Cellebrite OnRetrieval 4PC DataSheet pdf
PDF

El Estándar en la Industria Forense Móvil - OnRetrieval

[PDF] El Estándar en la Industria Forense Móvil OnRetrieval onretrieval Cellebrite UFED OnRetrieval Distribuidor Spain pdf
PDF

investigación forense, a incidentes en dispositivos móviles

INVESTIGACIÓN FORENSE, A INCIDENTES EN DISPOSITIVOS MÓVILES Ángela Marian García Rodríguez, María Catalina López Universidad Piloto de
PDF

forensic-analysis-sql-server-2005-database-server_1906

SQL Server Forensics 20 - Securitybyte

SQL Server Forensics | Why are Databases Critical Assets? ▫ Why are The application of computer investigation and analysis techniques to gather database Inside SQL Server 2005 The Storage Engine, Microsoft Press, 2006 VLF #2 Apr 13, 2014 Forensic analysis of

  1. Forensic Analysis of a SQL Server 2005 Database Server
  2. SQL Server Forensics 2
  3. Database Forensic Analysis Using Log Files
  4. SQL Server
  5. Database Forensic Analysis with DBCarver
  6. a framework for database forensic analysis
  7. A Workflow to Support Forensic Database Analysis
  8. SQL Server Forensics 2.0
  9. DATABASE FORENSICS
  10. Common Database Forensic Investigation

Forensic Ballistic Notes

A Simplified Guide To Firearms Examination

webzoom freewebs balisticaterminal Forensic cases of considerable ballistic injury to the lungs, liver, kidneys, spleen, large arteries or central veins, the latent period until incapacitation will be in the range of one or several minutes (delayed incapacitation) This potential for physical activity is not always exhausted due to

Forensic Ballistic Reviewer

BACHELOR OF SCIENCE IN CRIMINOLOGY

webzoom freewebs balisticaterminal Forensic cases of considerable ballistic injury to the lungs, liver, kidneys, spleen, large arteries or central veins, the latent period until incapacitation will be in the range of one or several minutes (delayed incapacitation) This potential for physical activity is not always exhausted due to

Forensic Psychology

Forensic Psychology and the Victims of Crime - Corwin | Home

PDF Introduction to Forensic Psychology SAGE Publications sagepub upm data 64577 Chapter 1 pdf PDF Forensic Psychology SAGE Publications sagepub upm data 39927 1 pdf PDF What Is Forensic Psychology,

forensic_accounting_tracing_stolen_assets

Asset Recovery Handbook - Stolen Asset Recovery Initiative - World

PDF tracing stolen assets Basel Institute on Governance baselgovernance Tracing 20Stolen 20Assets pdf PDF The Recovery of Stolen Assets A Fundamental Principle of the UN repatriationgroup wp content uploads U4 Brief

  1. tracing money
  2. tracing money laundering

Forensic_Medicine___Toxicology_-_Last_Moment_Revision

Forensic Science Multiple Choice Questions And Answers [EPUB

PDF FORENSIC TOXICOLOGY medecine ups tlse 2012 DCEM1 ForensicToxicology pdf PDF lecture notes on human respiratory system physiology liverpool ac uk ~gdwill hons gul lect pdf 24 Oct 2018 October 4th, 2018 Download

  1. forensic medicine and toxicology lecture notes pdf
  2. forensic toxicology examples
  3. question and answer in forensic medicine
  4. forensic toxicology testing methods
  5. forensic toxicology
  6. forensic toxicology cases
  7. review of forensic medicine and toxicology pdf
  8. postmortem forensic toxicology

Forensics Test Bank

Forensic And Investigative Accounting 5th Edition Test Bank

PDF CS6004 CYBER FORENSICS Question Bank Unit I Network layer syedengg ac in pdf IT VIII Sem CS6004 QB pdf PDF Download Forensics Chapter 1 Test PDFcommunity spring is forensics chapter 1 test pdf PDF Guide To Computer Forensics Test

forensik kasus TENGGELAM

1 BAB I PENDAHULUAN 11 Latar Belakang Tenggelam

PDF Pemeriksaan Diatom pada Korban Diduga Tenggelam (Review journal unair ac id download fullpapers 5 20DIATOM 20 fiish pdf PDF tanda intravital yang ditemukan pada kasus tenggelam di repository usu ac id bitstream 123456789 21606 7 Cover pdf PDF Pemeriksaan Luar pada Jenazah

  1. tes getah paru
  2. pemeriksaan diatom adalah

forensik5

Zeitschrift Interne Revision - Erich Schmidt Verlag

PDF Aushang Themenabend Forensik5 pptx Innocence in danger innocenceindanger de Podiumsdiskussion 3 6 2014 pdf PDF 2015 Lageplan außen, 22 10 2015 indd Bezirkskrankenhaus Lohr bezirkskrankenhaus lohr de 17156 lageplan 22 10 2015 gesamt

Home back Next

Description

Análisis Forense de dispositivos móviles iOS y Android

Nombre Estudiante: Marco Antonio Alvarez Murillo MEMORIA FINAL Nombre Consultor: Cristina Pérez Solà

Fecha de Entrega: 04/01/2016

Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 3

Dedicatoria

A mi hija Dayanna lo más grande de mi vida,

a mi madre María Elena por sus consejos,

a mi padre René Wilfrido por su enseñanza,

“el estudio es mi mejor herencia”,

Mauricio y Javier porque siempre están a mi lado,

A Francisco,

Kelvin,

Michael,

Xavier por su amistad y su apoyo incondicional

RESUMEN

El objetivo principal del Trabajo de Fin de Grado es dar un enfoque en la aplicación de métodos y procesos para el Análisis Forense Digital en dispositivos móviles que utilizan los sistemas operativos que se ejecutan bajo las plataformas iOS y Android

El protocolo que se utiliza para esta investigación se basa en los estándares y normas: ISO / IEC 27037,

RFC 3227,

UNE 71505 y UNE 71506

La metodología está estructurada en cinco fases: asegurar,

analizar e informar sobre las evidencias de tal manera que puedan ser aceptadas y formar parte de un proceso legal

A la vez,

este documento proporciona técnicas científicas antes los desafíos que analistas forenses pueden enfrentarse como: obtener privilegios de administrador,

acceso completo a los dispositivos de almacenamiento,

desactivar métodos de seguridad que implementa el dispositivo

Por último,

en las distintas fases de este proyecto final de carrera existen Pruebas de Concepto para demostrar su viabilidad,

se utilizan herramientas de open source como de tipo comercial

(ABSTRACT)

The main objective of this research is to apply methods and processes for the Digital Forensic Analysis in mobile devices utilizing operative systems running under IOs and Android platforms

The main objective of this research is to apply methods and processes for the Digital Forensic Analysis in mobile devices utilizing operative systems running under IOs and Android platforms

The protocol utilized for this investigation is based on the following standards: ISO/IEC 27037,

RFC 3227,

UNE 71505 and UNE 71506

The methodology used is structured in five phases as follows: Assure,

Identify,

Preserve,

Analyze and Report evidences that could form part of a legal process

This document also provides techniques in regards to challenges that Forensic Analysts could face like obtaining administrator privileges in order to have complete access to storage devices,

disabling the security on the device

In addition this study explains the used of hash functions that can be used to verify the data integrity with the purpose of protecting the evidence and ensuring the correct storage or transmission of the data

Lastly throughout the various phases of this final degree project there are Proofs of Concept which is a realization of a certain method or idea to demonstrate its feasibility,

utilizing software forensic tools of open source code as well as commercial software licenses

Índice de contenido Capítulo 1: Plan de Trabajo

Ciencias Forenses

Fases del Análisis Forense

1 Drozer

4 KingRoot

3 Autopsy

59 Anexos

Capítulo 1: Plan de Trabajo 1

El Internet es un gran sistema creado por los seres humanos,

implica la conexión de millones de dispositivos que conforman redes descentralizadas para formar una gran red global

Los gobiernos en conjunto con millones de usuarios y empresas utilizan esta tecnología para el desarrollo de funciones que se desarrollan a diario

La seguridad en Internet se convierte en una misión crítica que causa estragos en la vida cotidiana

Cada día existen miles de ataques que se materializan principalmente por estados,

hacktivistas y ciberdelincuentes

Sin embargo,

es común escuchar en los noticieros a cerca de nuevos sucesos delictivos (violaciones,

la investigación digital pasa a formar parte en la aportación de pruebas testificales para esclarecer dichas infracciones

El Análisis Forense es un proceso íntegro que estudia el historial de un sistema

Está a disposición de los analistas utilizar buenas prácticas,

métodos y herramientas que permita el análisis de evidencias para obtener informes detallados,

los mismos que serán puestos a disposición judicial en la lucha contra el uso de la tecnología con fines delictivos

En la actualidad existen millones de dispositivos móviles vendidos,

los Sistemas Operativos más utilizados son Android e iOS

En particular,

el presente estudio pretende dar un enfoque de una metodología a seguir para realizar un Análisis Forense sobre estos dispositivos

El objetivo principal de este trabajo es estudiar las principales herramientas y métodos para el Análisis Forense en dos dispositivos: el primer dispositivo con el Sistema Operativo Android y el segundo con el Sistema Operativo iOS

a) Comprender la definición del ámbito en que se desarrolla la Informática Forense

b) Utilizar las diferentes fases del Análisis Forense

c) Estudiar las metodologías a seguir en el proceso de una investigación Forense aplicando métodos y herramientas acorde a lo establecido en las normas y leyes

d) Dar un enfoque a cerca de la estructura de los sistemas Android e iOS

e) Estudiar las herramientas de Análisis Forense Digital en dispositivos móviles

más comunes en

f) Investigar el historial detallado de los elementos de evidencia digital que se encuentren en dispositivos móviles que utilizan los sistemas Android e iOS

g) Realizar el peritaje e informe pericial

a) Conocer ciertos métodos de utilidad para el hacking del passcode en iOS y Android

b) Investigar herramientas disponibles para Root en Android y Jailbreak en iOS

c) Métodos de custodia y capturar de los datos de un sistema iOS y Android

d) Investigar a cerca de diferentes herramientas que ofrece Santoku Linux de open source,

sistema especializado para el análisis Forense en dispositivos móviles,

y herramientas de Software Libre

e) Realizar investigaciones de Análisis Forense con herramientas comerciales

f) Obtener información de los dispositivos investigados

h) Realizar el peritaje e informe periciales de dos dispositivos móviles,

uno con el Sistema Operativo iOS y el otro con Android

La metodología a seguir se basará en estándares,

normas y regulación de acuerdo a leyes y recomendaciones existentes,

se dará un enfoque de cómo realizar una investigación Forense en dispositivos móviles que servirá de guía para una investigación real

El trabajo se basa en el marco legal del estado español y la comunidad europea en conjunto con las normas: ➢ ISO/IEC 27037: Information technology – Security techniques – Guidelines for identification,

acquisition and preservation of digital evidence

[1] Documento que publicó la Organización Internacional para la Estandarización (ISO),

proporciona directrices para actividades periciales en el escenario de la identificación,

adquisición y preservación de la evidencia digital como medio probatorio

Utiliza procedimientos disciplinarios para facilitar en intercambio de la evidencia entre jurisdicciones y orienta a las personas en todo el proceso de manipulación de dicha evidencia

➢ RFC 3227: Guidelines for Evidence Collection and Archiving

[2] Proporciona a los administradores de sistemas directrices para la recopilación y archivo de las pruebas en un incidente de seguridad

Cuando la recopilación de pruebas se realiza de forma correcta,

se evita graves errores y facilita la detección del atacante,

aumentar en gran proporción la posibilidad de admitir el caso a un proceso judicial

➢ UNE 71505: Tecnologías de la Información (TI)

Sistema de Gestión de Evidencias Electrónicas (SGEE)

Parte 1: Vocabulario y principios generales

[3] Los logs de actividades proporcionan información sobre los sucesos en un sistema de información

La parte frágil de los logs es la demostración que los hechos no se han alterado en la cadena de custodia

Define y describe conceptos de seguridad que se relacionan con la evidencia,

identifica las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el Sistema de Gestión de Seguridad (SGSI),

especifica controles de seguridad a la gestión de evidencias

➢ UNE 71506: Tecnologías de la Información (TI)

Metodología para el análisis forense de las evidencias electrónicas

[4] Esta norma define los procesos para el análisis forense dentro del ciclo de gestión de evidencias electrónicas

Completa los procesos que conforma la Norma UNE 71505 a cerca del Sistema de Gestión de Evidencias Electrónicas

Las buenas prácticas y el seguimiento de una metodología,

garantiza y aporta seguridad en la investigación

Por ende,

se evita cometer errores graves en un proceso judicial,

A más,

se necesitan herramientas disponibles para el análisis

Este trabajo se utilizará: el sistema operativo Santoku Linux en conjunto con herramientas de Open Source

Andriller,

DS7 de uso comercial,

la mayoría destinadas al Análisis Forense en dispositivos móviles y generación de informes de alto nivel

Los resultados esperados después de esta investigación son: A) Informe pericial de dispositivo móvil con iOS

B) Informe pericial de dispositivo móvil de Android

C) Memoria final

Capítulo: Elaboración del plan de proyecto

La Gestión de Proyectos implica la planificación de los procesos a seguir para finalizar con éxito los objetivos y el alcance dentro de un límite de tiempo establecido

Se presenta un diagrama de Gantt que sirve de guía para el control de y avance del trabajo en conjunto con la verificación de hitos

Capítulo: Metodología para el Análisis Forense Seguir una metodología es primordial para finalizar con éxito el Análisis Forense Digital de cualquier dispositivo

Se pretende dar un enfoque a cerca de la definición y fases de análisis de la informática forense en general

Capítulo: Hacking de dispositivos móviles iOS

El estudio de la arquitectura y estructura del sistema de archivos de un sistema iOS es fundamental antes de iniciar el análisis forense,

a continuación se establecen herramientas con diferentes métodos de acceso de administrador del sistema

Capítulo: Hacking de dispositivos móviles Android

De la misma forma que en el capítulo anterior se estudian principios para el sistemas Android

Capítulo: Análisis Forense en dispositivos iOS

Se establecen métodos adquisición y herramientas de análisis de tipo comercial y open source para sistemas iOS

Capítulo: Análisis Forense en dispositivos Android

Se explica diferentes métodos para la fase de adquisición y análisis de sistemas Android,

herramientas de licencia comerciales y open source para el análisis forense

Capítulo: Informe Pericial Los informes periciales pueden ser de dos tipos: Informe Ejecutivo que permite llegar a personas con pocos conocimientos técnicos,

y el Informe Técnico con todos los detalles de la investigación

En este trabajo se pretende realizar un informe que combina la parte ejecutiva y técnica como demostración pero con los principales incisos debido a la gran cantidad de información que almacena un dispositivo 1

Informa pericial dispositivo iOS

Informe pericial dispositivo Android

Memoria Final

Capítulo 2: Metodología para el Análisis Forense

Ciencias Forenses

Las ciencias forenses se encargan de la aplicación de prácticas científicas dentro de un proceso legal

Investigadores especializados en distintas ramas localizan evidencias que proporciona pruebas concluyentes al ser sometidas a estudios en laboratorios debido a que no pueden ser observadas a simple vista

Fue desarrollado por el Dr

Edmond Locard,

Locard formuló que: “cada contacto deja un rastro”,

cualquier objeto o criminal que entra en la escena del crimen transfiere material que incorpora al otro objeto y viceversa

Dicho de otra manera,

alguna acción de algún individuo

Las ciencias forenses poseen herramientas,

técnicas y métodos científicos que se utilizan para reconstruir los hechos que se investigan con el propósito de relacionar al criminal con la víctima en una escena

Es una disciplina que combina elementos de derecho y ciencias de la computación para recopilar y analizar datos de: sistemas informáticos,

comunicaciones y dispositivos de almacenamiento

Dicha rama aplica métodos científicos,

herramientas e infraestructura tecnológica para la investigación de sistemas digitales con la finalidad de: asegurar,

analizar y presentar la evidencia de manera que sea admisible como prueba en un tribunal de justicia

Este proceso normalmente se ejecuta de forma secuencial

Figura 2

Sin embargo,

el resultado de un análisis digital en todos los casos no entra a formar parte de un proceso judicial

En numerosas ocasiones se desea investigar un sistema porque existe cierta sospecha o total seguridad

Por consiguiente,

se puede definir a la Informática Forense como una ciencia que proporciona un metodología para la investigación detallada de los sucesos que ocurren en tiempo real o durante el historial de un sistema,

de información detallada para esclarecer el daño causado a la víctima,

así como la identidad del atacantes y sus intenciones

En investigaciones científicas es un objeto digital que contiene información confiable como soporte para una hipótesis

En el ámbito legal,

la evidencia digital o electrónica es cualquier clase de información probatoria,

dicha información está almacenada o se transmite de manera digital con la finalidad de utilizar una de las partes en un proceso judicial

Esto explica que el proceso a seguir se debe realizar con la suficiente atención en la recolección,

procesamiento y almacenamiento de los objetos digitales

A menos que estén muy seguros que la evidencia no se utilizará en el juzgado,

se procede a ejercer la debida precaución y cuidado de las pruebas

En muchas ocasiones una investigación que comienza como una recopilación y análisis puede convertirse en un análisis criminal

Fases del Análisis Forense

Esta fase se basa en la restricción del acceso para que ninguna persona u objeto pueda alterar la escena a investigar

Las personas que actúan en la investigación deben garantizar actuaciones seguras,

está prohibido utilizar procesos que no estén completamente seguros

Se puede citar una serie normas dentro del protocolo a seguir: •

Identificar la escena y establecer una perímetro de seguridad

Restringir el acceso de personas y equipos informatizados en el perímetro trazado

Impedir el uso de dispositivos con tecnología inalámbrica

Preservar las huellas mediante la utilización de guantes látex

Valorar el análisis en red o la posibilidad de desconectar los dispositivos

La desconexión pude acarrear la pérdida de información a cerca de un delito que se pueda cometer en línea

Para los dispositivos de imprenta,

si en el instante del análisis se encuentran con tareas de impresión,

se proporciona el tiempo necesario hasta la finalización de los trabajos

Documentar por medio de fotografías o vídeos la fecha y hora del sistema antes de apagarlo,

siempre que se encuentre esta información en la pantalla

Monitorizar los proceso en línea (por ejemplo,

) y documentar por medio de fotografías o vídeos

Apagar los dispositivos encendidos se recomienda retirar la alimentación por la parte posterior del equipo

El proceso de identificación puede variar según el caso

El investigador debe confiscar una cantidad pequeña de material o al contrario,

enfrentarse a la incautación de una gran cantidad de material

Sin embargo,

se recomienda verificar la calidad y la validez de los materiales confiscados para validar como una prueba judicial

Como punto de partida,

se concibe la evaluación de las evidencias volátiles y valorar la necesidad de grabarlas o no en un fichero

El investigador debe conocer que esta acción implica manipular el sistema,

si se toma una decisión de esta índole debe documentarse especificando la razón o la necesidad,

el analista debe conocer el riesgo que conlleva cualquier manipulación en el sistema,

puede convertirse en una prueba no válida en un proceso judicial

Realizar una lista,

etiquetar el material incautado,

documentar todo lo que se lleva al laboratorio y lo que no

Solicitar datos relevantes de las personas implicadas,

contraseñas del sistema y usuarios o acciones que se producen durante el incidente

Realizar un esquema de la escena del suceso,

vídeo,

En cuánto a los dispositivos móviles,

si no se tratan adecuadamente la evidencia puede contaminarse y terminar como inválida

La fuentes que incluyen en las pruebas son: los dispositivos,

UICC [5] (Universal Integrated Circuit Card),

Los ordenadores personales pueden ser de mucha utilidad inclusive más que un dispositivo móvil,

debido a que los usuarios realizan procesos de sincronización para descargar material en dispositivos de almacenamiento de mayor capacidad,

para realizar una copia de seguridad del sistema en caso de avería

Un backup almacenado en un equipo puede ser de mucha utilidad si el proceso de desbloqueo de un terminal se vuelve imposible

Con los dispositivos incautados,

no se debe permitir al propietario ni a cualquier persona no autorizada manipular el teléfono móvil,

muchos dispositivos tienen códigos para borrar el contenido a las condiciones originales de fábrica

Además,

se puede realizar un borrado de forma remota por lo que es imprescindible utilizar medidas de precaución como el aislamiento de la red para que no exista la posibilidad de destrucción de la evidencia por terceras personas ajenas a la investigación

Los analistas pueden enfrentarse a situaciones comprometidas como: material digital dentro de líquido,

en estos casos se recomienda consultar a especialistas para obtener instrucciones específicas o de asistencia

Los dispositivos pueden encontrarse dañados o parcialmente destruidos por diferentes motivos pero que no impiden necesariamente la extracción de datos

El equipo roto se procede a transportarle al laboratorio para intentar reparar sus componentes o extraer la información en la medida posible

En la entrevista al propietario,

es de cometido considerar la solicitud a cerca de tipos de seguridad digital que utilizan los dispositivos

Una vez incautados los dispositivos móviles,

es necesario aislar ante cualquier tipo de comunicación

Se recomienda la utilización de Bolsas o Jaulas Faraday (bolsas o cajas metálicas que tiene por objetivo aislar las señales inalámbricas desde las torres de móviles,

y otras fuentes de señal para proteger las pruebas durante la adquisición)

Fuente: https://www

Los teléfonos tienen una gran capacidad de almacenamiento,

en su interior puede existir material ilegal almacenado

Las evidencias digitales pueden modificarse o incluso eliminarse por lo que requiere un valioso cuidado para preservar la evidencia

Cuando un usuario decide borrar un archivo,

el Sistema Operativo no elimina por completo,

la mayoría de ellos liberan los sectores que ocupa dicho archivo y lo marca como disponible,

si no se sobrescriben los sectores la información seguirá almacenada

Por lo tanto,

con la utilización herramientas forenses se puede recuperar dicha información

Se presenta una serie de pautas para la adquisición de evidencias,

borrado seguro de datos y copia bit a bit

Características del dispositivo

La marca y el fabricante se puede identificar por las características visibles de un dispositivo,

existen bases de datos que permiten consultar dichas características,

se puede obtener información del detrás de la batería

El IMEI es un número de 15 dígitos que indica el fabricante,

Los primeros 8 dígitos definen el Código de Tipo de Asignación (TAC),

que contiene información a cerca del modelo y origen,

los siguientes bits especifican el fabricante con un dígito de control al final

El ESN es un identificador de 23 bits grabado en en chip,

los primeros 8-14 bits identifican a los fabricantes y el resto el número de serie asignado

El modo Depuración USB

(USB Debugging) está pensado principalmente para desarrolladores,

permite abrir el acceso directo al sistema para el SDK de Android (Software Development Kit),

indispensable para la conexión por cable entre los

dispositivos móviles y el ordenador Una dificultad en el proceso de investigación forense es la habilitación de USB

Si el sistema es Root,

además se encuentra habilitada la depuración USB,

se procede a conectar entre el ordenador y el dispositivo móvil por medio de ADB (Android Debug Bridge) para realiza la copia bit a bit

¿El sistema es Root en Android o Jailbreak en iOS

Una gran cantidad de usuarios tienen activado el Sistema Root en Android o Jailbreak en iOS,

se puede establecer una conexión entre el ordenador y el dispositivo por medio de USB o por el protocolo SSH,

se realiza la adquisición física bit a bit del dispositivo

Si no es el caso,

se procede a investigar con la finalidad de identificar bugs que permitan escalar privilegios en los dispositivos

El siguiente desafío que un investigador se encuentra en el análisis es la extracción de datos para su posterior análisis

La extracción se puede clasificar en cinco niveles,

de acuerdo al nivel que se elija se consume mayor o menor recursos

El nivel más técnico consume más recursos

Extracción manual

Consiste en la visualización y grabación de la información de la pantalla del dispositivo,

para lo cual se manipula: botones,

Este método no permite acceder a los datos que han eliminado normalmente cruciales en la investigación

La información se recoge mediante fotografías de la pantalla LCD del móvil

Extracción lógica

Se realiza mediante la conexión del dispositivo (Cable USB,

RSRs232,

IRDA Bluetooth

Es de obligación por parte del analista tener en cuenta los problemas asociados a este tipo de investigación,

utilizar protocolos y métodos de conectividad pueden modificar los datos

La extracción se realiza mediante el uso de comandos,

y la respuesta se envía a la estación de trabajo

Extracción física

Consiste en adquirir una imagen del material incautado para el análisis,

dicho método obtiene copias necesarias de la imagen original

Una vez se realiza la copia,

se lleva a cabo la investigación forense sin necesidad de utilizar el dispositivo físico

Realizar la copia de bits de los soportes originales es un proceso que se puede realizar por medio de software o hardware,

se debe tener en cuenta : Los dispositivos o unidades de almacenamiento en donde se va a realizar la copia deben estar borradas de manera segura

Existe una herramienta en Linux muy utilizada para borrado de seguro y copia bit a bit

El comando para realizar el borrado seguro es: dd if=/dev/zero of=dispositivo a copiar bs=1M

Las copias deben ser idénticas a la original

No debe alterarse bajo ningún motivo los datos de origen y destino

La copia tiene que estar completa,

se incluye el espacio libre sobre todo para la recuperación de la información valiosa que ha sido borrada

dd if = dispositivo de origen of=dispositivo destino bs=1M Aplicar la función hash sobre la información recopilada para mantener la integridad

Se puede utilizar MD5 o SHA-1

El análisis debe realizarse a partir de una segunda copia para evitar el daño del dispositivo original,

duplicar cuando las circunstancias lo requiera nueva copia de la primera

Una vez extraída la imagen se debe entrega el original al juzgado,

el afectado puede solicitar un contra-peritaje

En el proceso de copia de la imagen no es necesaria la presencia del Secretario Judicial,

no está obligado a conocer aspectos técnicos

Hex Dumping y JTAG

Permite el acceso directo a la información almacenada en un chip flash memory

El reto en esta investigación es utilizar la herramienta apropiada para analizar o decodificar los datos que se ha capturado,

proporcionar una visión lógica del sistema de archivos y presentación de informes sobre estos datos

Este método requiere conectividad por cable o WIFI entre el dispositivo y la estación de trabajo

Chip-Off Se extrae el chip de memoria del dispositivo,

a continuación se crea una imagen binaria del contenido

Se necesitará software que comprende la composición física y lógica del dispositivo

Micro Read

Captura los cambios en el gate [6] electrónico

(Fuente: Ayers,

Brothers,

Jansen,

Guidelines on Mobile Device Forensic,

NIST Special Publication 800-101,

Revision 1,

6028/NIST

Figura 2

Durante el proceso de extracción de datos en ocasiones se encuentra la necesidad de: “desbloquear los métodos de seguridad que implantan los fabricantes y los Sistemas Operativos”

Los dispositivos investigados en algunas circunstancias no poseen ningún sistema de seguridad para acceso a los datos,

principalmente por descuido o desconocimiento de los usuarios

No obstante,

existen dispositivos que protegen los datos generalmente con el cifrado o necesitan de métodos de autenticación usando una contraseña,

En la actualidad,

diferentes herramientas proporcionan funciones automatizadas que permiten omitir los mecanismos de seguridad como parte de sus productos,

así como recuperar contraseñas del dispositivo bloqueado

Se pueden citar herramientas de uso comercial como: Oxigen Forensic Suite [7],

DS7 [8],

Encase [9]

Otro método es el uso de herramientas automatizadas de Open Source o directamente con el uso de scripts de acuerdo a las vulnerabilidades del sistema a investigar,

la desventaja consiste en el análisis minucioso unido al método más apropiado de acuerdo al Sistema Operativo a investigar

Los productos comerciales tienen un coste de licencia elevado,

pero para empresas o miembros del estado que se dedican a realizar una gran cantidad de investigaciones forenses en dispositivos móviles es una buena alternativa si se realiza un análisis coste-beneficio

En este trabajo,

se presenta una serie de métodos para el desbloqueo de teléfonos que están protegidos con passcode,

las técnicas que se utilizan dependen del: Sistema Operativo instalado,

distintas versiones de los mismos,

diferentes características entre una marca a otra

Preguntar al propietario

Durante una entrevista al propietario del dispositivo,

se pueden formular preguntas para obtener información a cerca del passcode,

u otro sistema de autenticación

Revisión de los materiales incautados

El propietario en ocasiones suele escribir passwords o PINs en un papel que se se mantiene: cerca del teléfono,

en un ordenador para sincronizar el dispositivo o,

en materiales de uso común – ejemplo: la cartera del propietario

Si es así,

se intentará recuperar de manera visual y usar la clave para desbloquear el teléfono

Vulnerabilidades específicas

El método más común es utilizar vulnerabilidades de los sistemas,

Smudge Attacks es un ejemplo que consiste en el análisis de la superficie de la pantalla táctil del dispositivo para determinar los dígitos o caracteres que el propietario utilizó [10]

Existen a disposición de los analistas bases de datos a cerca de las vulnerabilidades de los sistemas

Preguntar al proveedor de servicios La mayoría de proveedores ofrecen la capacidad de recuperar el PUK en línea,

ingresando el número del teléfono y la información del abonado en páginas web públicas

Otro método similar es contactar con el fabricante del dispositivo,

o mediante la emisión de una orden por vía judicial hacia los proveedores de servicios o fabricantes

Sin embargo,

los usuarios eligen contraseñas débiles para proteger sus dispositivos (1111,

pero no se recomienda intentar desbloquear utilizando estos códigos por el riesgo que se puede ocasionar como puede ser el: borrado seguro del móvil,

limpieza permanente de la memoria,

Los dispositivos por lo general tienen un número de intentos antes de bloquear el teléfono,

el investigador puede aceptar este riesgo en los casos en que sea la única opción para la extracción de datos

Métodos hardware y software

En los siguientes capítulos de Hacking del passcode en iOS y Android se describen algunos métodos software o hardware que se utilizan para obtener o desbloquear el passcode

Fundamenta el estudio total del dispositivo,

el analista debe conocer el funcionamiento de los sistemas operativos,

ficheros con sus metadatos y aplicaciones instaladas en los equipos a investigar

En los dispositivos móviles se encuentra información de importancia en el análisis de contactos,

mensajes de comunicación como (MMS,

Whatsapp,

aplicaciones de redes sociales,

los archivos logs de actividades

El investigador se enfrenta a diferentes inconvenientes en el análisis como ficheros cifrados,

ficheros infectados con troyanos virus o malware,

datos ocultos con estenografía,

En ocasiones,

se debe trabajar directamente sobre el dispositivos,

para efecto se utilizan herramientas hardware o software que permitan recuperación del dispositivo sin alterar la evidencia

Esta forma de análisis realiza cuando no se dispone de suficiente tiempo para el análisis en laboratorio

En la actualidad existen herramientas de Open Source como de uso comercial,

analizar y generar reportes de la investigación

Entre las herramientas más conocidas se puede citar: open source (Sistema Operativos Kali Linux,

Santoku Linux que contiene herramientas para el análisis forense y auditoría digital) de uso comercial (Oxigen Forensic Kit,

Andriller,

Encase)

En Computer Forensics Tool Catalog existe una lista detallada de herramientas disponibles para Análisis Forense en dispositivos móviles

Es la creación o estudio de un evento en un intervalo de tiempo específico con los detalles a cerca de los sucesos ocurridos

Ejemplos de líneas temporales: se solicita al Analista Forense verificar si se realizó una llamada,

se hizo una copia de archivos una memoria externa etc

todo esto en un tiempo específico

Los analistas pueden contar tan solo con la imagen del dispositivo,

existen archivos que tienen aplicaciones propias para la apertura,

esto genera una gran dificultad al tener que instalar aplicaciones en un ordenador

Por este motivo se recomienda ejecutar la imagen en una máquina virtual para proceder al análisis

Si el sistema está infectado por software malicioso la virtualización ofrece la oportunidad de analizar su comportamiento

Este forma de análisis se le conoce como análisis en vivo

Se documenta y se presentan las evidencias relacionadas con el caso,

justificación de los procesos investigados,

El lenguaje utilizado debe ser formal pero no necesariamente técnico,

el lector no tiene porqué conocer la parte técnica

Sin embargo el Analista Forense tiene que poseer habilidad para comunicar el resultado de la investigación de forma clara y concisa

Capítulo 3: Hacking de dispositivos móviles iOS

La arquitecturade iOS se basa en capas,

las capas de nivel superior interactúan como intermediarias entre el hardware y las aplicaciones que se desarrollan

Las aplicaciones no se comunican directamente con el hardware,

se comunican a través de interfaces de sistemas,

este mecanismo proporciona el desarrollo de aplicaciones que trabajan constantemente en dispositivos con diferentes capacidades de hardware

Las capas de nivel superior se basan en las capas inferiores,

proporcionan servicios y tecnologías más avanzadas para el desarrollo de aplicaciones,

las capas inferiores poseen el control de los servicios básicos

Cocoa Touch

Es la capa principal,

contiene un conjunto de Frameworks para el desarrollo de aplicaciones

Se recomienda usar Frameworks de alto nivel siempre que sea posible,

porque proporcionan abstracciones orientadas a objetos para construcciones de menor nivel,

esto facilita o disminuye la cantidad de código a escribir y permite encapsular características complejas como sockets o threads

Se pueden utilizar capas de nivel inferiores si no existen las características necesarias en los niveles superiores

Media Provee los servicios de gráficos,

vídeo,

y capacidades gráficas a la capa superior

Esta capa contiene una serie de marcos que se pueden utilizar en del desarrollo de aplicaciones

Core Services Contiene los servicios fundamentales del sistema que usan todas las aplicaciones

Core OS Se encuentra directamente sobre el hardware del dispositivo,

proporciona servicios de bajo nivel que incluye: manejo del sistema de archivos,

servicios del sistema operativo,

Figura 3

Secure Boot Chain,

es el proceso de inicialización del firmware y carga de los archivos necesarios para el arranque del sistema además,

se considera la capa principal del defensa para la seguridad de esta plataforma

Cuando un dispositivo iOS se enciende,

el procesador ejecuta el boot ROM en modo de lectura

Boot Rom contiene la clave pública para Apple's Root CA que utiliza para verificar la integridad en la siguiente etapa del proceso el gestor de arranque de bajo nivel (Low-level bootloader (LLB)

LLB realiza rutinas de instalación,

incluye la localización de la imagen iBoot en la memory flash,

así LLB mantiene la seguridad en Secure Boot Chain,

para verificar la firma de la imagen de iBoot,

si la firma no retorna el valor esperado,

el dispositivo entra en modo recovery

iBoot es la segunda etapa del gestor de arranque de iOS para todos los dispositivos,

es responsable de cargar y verificar el Kernel para configurar el entorno en modo de usuario

Figura 3

Code Singning es una de las características más importantes en seguridad que ofrece iOS

Previene la ejecución de programas no autorizados,

cada vez que se ejecuta una aplicación se realiza un proceso de verificación de su firma,

esto permite ejecutar aplicaciones con firmas de confianza válidas

Por defecto,

todos los datos del sistema de archivos iOS están cifrados con AES,

sistema de archivos con clave que se genera cuando se carga el sistema y se almacena en el bloque 1 de NAND flash storage

El sistema utiliza esta clave cuando se inicia el dispositivo para descifrar la tabla y el sistema de partición

El sistema de archivos se encuentra cifrado en reposo,

cuando el dispositivo está encendido el hardware basado en crypto accelerator desbloquea el sistema de archivos

Adicionalmente al crypto accelerator,

Keychain y cada uno de los archivos pueden ser cifrados usando Data Protection API que utiliza una clave derivada del passcode

Cuando el dispositivo está bloqueado esta información se cifra utilizando API y se descifra una vez que se ingresa el passcode,

la información del dispositivo está segura y disponible de acuerdo a este sistema

En la actualidad miles de usuarios no utilizan passcode para bloquear sus dispositivos debido a un simple descuido o conocimientos mínimos de seguridad digital,

usuarios con conocimientos avanzados utilizan sistemas de cifrado en conjunto con el passcode para proteger la información

Un investigador forense necesitará de métodos o explotación de vulnerabilidades en el sistemas a investigar para obtener el passcode y desbloquear un dispositivo

A continuación se citan diferentes formas para la obtención del passcode en iOS

Al utilizar el dedo para desbloquear un dispositivo por pantalla se produce un contacto en el cual se transmite la grasa corporal al dispositivo

Se puede analizar esta grasa corporal por medio una fotografía de calidad o con la técnica “Smudge Attacks on Smartphone Touch Screens” [10]

Gecko iPhone Toolkit

Herramienta bajo Windows que realiza un ataque por fuerza bruta al passcode de un dispositivo iOS

Funciona con iPhone 3GS,

4 (GSM),

iPod touch 3G,

Figura 3

IPBOX craquea el passcode de iOS 8

La herramienta de hardware IP Box permite realizar un ataque de fuerza bruta al passcode del iPhone,

se puede obtener el código en un tiempo de 6 segundos hasta 17 horas

El analista debe entender que los dispositivos IOS por seguridad activan el borrado del dispositivo tras 10 intentos fallidos,

aunque los fabricantes aseguran que funciona aunque el dispositivo tenga activada esta opción

El dispositivo implementa la vulnerabilidad CVE-2014-4451 [13]

Figura 3

Como se describe en la sección de Jailbreak,

Apple en todas las actualizaciones corrige las vulnerabilidades conocidas en su sistema iOS

Por tanto,

depende de los investigadores en seguridad encontrar nuevas vulnerabilidades para aplicar un método y explotar diferentes formas de realizar un Jailbreak o desbloquear o craquear el passcode de iOS

Existen herramientas de uso comercial como se habla en este trabajo como DS7 de Paraben u Oxigen Forensic Suite

Cabe destacar que no siempre funciona en todas las 25

versiones debido a las constantes actualizaciones por parte de Apple

Para encontrar vulnerabilidades a cerca de iOS se puede consultar en el National Institute of Standard and Technology

En iOS el acceso al dispositivo o al Sistema Operativo por parte del usuario está bloqueado

La instalación de las aplicaciones se basa en la App Store de Apple

Sin embargo,

comunidades on-line realizan estudios para proveer de acceso Root en los dispositivos

Existen diferentes razones para utilizar Jailbreak,

la principal razón por parte de los usuarios de obtener acceso Root desde el dispositivo se basa en incumplir los controles impuestos por la App Store para las aplicaciones

Jailbreak,

permite instalar aplicaciones no firmadas desde sitios no oficiales como por ejemplo Cydia

Sin embargo,

realizar un Jailbreak tiene gran incidencia en la seguridad del dispositivo,

para un analista forense permite realizar la investigación con menor dificultad,

la escalada de privilegios permite el acceso directo a los datos que se almacenan en la memoria del dispositivo

Untethered Jailbreak

Es el más deseado por los usuarios pero tiene una mayor dificultad de conseguir

Este desaparece cuando el dispositivo se reinicia el sistema

Esto se logra utilizando dos técnicas: la primera consiste en el uso de la imagen modificada en el LLB que permita la validación de la imagen iBoot,

lo que permite cargar un kernel no firmado,

la segunda utiliza un exploit Corona para iniciar el código de ejecución

un exploit del kernel se utiliza para parchear y colocar en un estado Jailbroken

Tethered Jailbreak

La ejecución de este Jailbreak no desaparece cuando el dispositivo se reinicia y requiere la utilización de un ordenador y un cable para reiniciar el dispositivo

El Analista Forense,

puede intentar por diferentes medios la extracción de datos del dispositivo sin modificar el sistema original,

en diferentes circunstancias será necesario como mejor alternativa explotar un Tethered Jailbreak que permita acceder a los datos y tras el reinicio volver al estado original,

a documentar todo el proceso y los motivos por el cual se procede a realizar esta modificación en los sistemas iOS

Como recomendación se debe tener una copia de iTunes de las versiones anteriores y ejecutarlas en máquinas virtuales dependiendo de la versión del dispositivo iOS a investigar

Las herramientas disponibles para realizar Jailbreak dependen de las diferentes versiones de iOS

Para realizar pruebas de concepto iTunes debe estar en la versión del sistema iOS que se desea realizar el Jailbreak porque las actualizaciones corrigen las vulnerabilidades de versiones anteriores

Se citan herramientas que efectúan el 26

proceso de Jailbreak en los sistemas iOS más actuales a la elaboración de documento

RedeSn0w

Esta herramienta afecta a los sistemas iOS6

Al utilizar este sistema es necesario poner el dispositivo en modo DFU (Device Firmware Update)

El sistema automáticamente explica los pasos a seguir para el proceso de Jailbreak

El proceso es el siguiente: ejecutar el archivo como administrador de RedeSn0w,

a continuación se presiona e Jailbreak – Next

Para poner en modo DFU se pulsa el botón de encendido (Power) durante 3 segundos,

a continuación manteniendo presionado el botón de encendido se pulsa al mismo tiempo el botón Home durante 10 segundos y para terminar se deja de presionar el botón de Power por 15 segundos

Figura 3

Evasi0n

Afecta a las versiones 6

0 – 6

Es capaz de ejecutar código inicial en el dispositivo,

utiliza la vulnerabilidad CVE-2013-0979 [14] y CVE-2013-0981 [15]

Evasi0n 7

Afecta a las versiones iOS 7

Utiliza la vulnerabilidad CVE-2014-1273 [16] y CVE-2014-1272 [17]

Figura 3

TaiG Jailbreak para iOS 8

Taig lanzó en Junio del 2015 la herramienta de Jailbreak para iOS 8

apoya al untethered Jailbreak para 8

que a su vez esperó a que Apple lance la versión de iOS 8

Para utilizar esta aplicación se necesita desactivar el passcode y el find My phone

Se ejecuta la aplicación como administrador y se sigue las instrucciones

Conectar el dispositivo por medio del cable al ordenador,

una vez Taig reconoce el dispositivo pulsar sobre el botón iniciar (Start)

La opción 3K Assitant 2

a continuación después de unos minutos el software termina el proceso

Figura 3

En Octubre del 2015,

Pangu [19] lanzó la nueva versión de su herramienta que permite hacer Jailbreak a los sistemas iOS 9,

Octubre del 2015,

Apple en su versión 9

Para realizar esta prueba de concepto se necesita tener el dispositivo en modo avión,

desactivar find My phone y conectar al ordenador

Descargar y ejecutar como administrador la aplicación de Pangu

Figura 3

Si el proceso de realizar el Jailbreak utilizando cualquier de estos o futuros métodos se realiza con éxito,

se instala en el dispositivo una aplicación

La conexión requiere la dirección IP del dispositivo iOS que se puede obtener con la herramienta Nmap o directamente en el router consultando la dirección asignada

El nombre de usuario por defecto es: root y el pasword:alpine El comando utilizado es: ssh [email protected]

Figura 3

Existen herramientas como Filezilla para establecer la conexión por medio de entorno gráfico

Figura 3

conexión por SSH a de dispositivos iOS

Apple no ofrece información de sus dispositivos y sistemas,

pues se recurre a la exploración del sistema de archivos mediante la conexión por SHH,

se puede especificar una lista de localizaciones de interés en la investigación forense

Sistema de aplicaciones

Aplicaciones de Terceros

/private/var/mobile/Library/Voicemail

Voicemail

/private/var/mobile/Library/SMS

Mensajes de SMS

/private/var/mobile/Media/DCMI

/private/var/mobile/Media/Videos

/ Base de datos de contactos private/var/mobile/Library/AddressBook

Figura 3

localización del demonio find My phone

El ID de Apple es el nombre de usuario para las actividades en iOS

La mayoría de usuarios no cierran las aplicaciones instaladas ni eliminan la caché en sus dispositivos

El usuario puede configurar el sistema a utilizar de alertas para los mensajes,

los estilos pueden ser ninguno,

Una vulnerabilidad conocida en los sistemas IOS es la alerta de los mensajes de alertas por pantalla,

que permite ver los mensajes recibidos en la pantalla por cada una de las aplicaciones

Si es la configuración que tiene el usuario,

existe una forma similar a la citada en anteriormente “He olvidado mi contraseña”

Una opción es enviar un SMS al número

de teléfono que se enviará un mensaje que será reflejado en la pantalla

Para esto es necesario conocer el número de teléfono

Esta prueba se realiza en dispositivos que no utilizan passcode,

pero es necesario realizar el Jailbreak o Backup para la extracción física o lógica de los datos

Los usuarios tienen las aplicaciones de correo electrónico abiertas para la consulta de sus mensajes normalmente de Outlook o Gmail

Para cualquier modificación el sistema iOS pedirá la clave asociada a la cuenta,

se opta por la opción “Ha olvidado su Id de Apple o la contraseña

a continuación se activa la opción de enviar la contraseña por correo electrónico,

la segunda opción es por medio de una pregunta de seguridad

Se elige la primera y automáticamente enviará una mensaje a la cuenta de correo para reactivar la clave

Figura 3

Se procede a verificar el mensaje que se recibe por correo electrónico desde el dispositivo a investigar

Dicho correo electrónico especifica las instrucciones para modificar la contraseña de ID de Apple

Figura 3

Se modifica la nueva contraseña y a continuación se accede al dispositivo

Figura 3

Si el proceso se realiza con éxito,

se hace un backup del sistema para su posterior análisis

Capítulo 4: Hacking de dispositivos móviles Android

En Android el flujo de datos se basa en las siguientes capas: •

Aplications

Es la capa superior de Android

Las aplicaciones instaladas de fábrica o aplicaciones personales grabadas en el dispositivo se encuentran en esta

Framework Aplications

En esta capa se encuentran los servicios y bibliotecas que utilizan las aplicaciones para llamar a sus funciones

Android Runtime

Todas las aplicaciones,

el código Java-Framework se ejecuta en en una máquina virtual,

el cual se convierte en código ejecutable

Libraries

Bibliotecas nativas,

demonios y servicios (escritos en C o C ++)

Las Bibliotecas nativas no son más que parte del sistema operativo Android interna

Estas bibliotecas se utilizan cuando se llama a cualquier API de la capa de aplicación

Básicamente cuando se llama a cualquier API de capa de Java o de la capa superior,

entonces se llama a la API de la capa nativa que está escrito en su mayoría en C / C ++,

por lo que se pude decir que la API de Java se convierte en C / C ++ API

Linux Kernel

Es la capa más compleja,

incluye controladores para el hardware,

acceso al sistema de archivos procesos-comunicación

Cada instrucción que se ejecuta en la capa superior pasa a través del Kernel para obtener el resultado final

Figura 4

Fuente: https://es

Después de dar un enfoque general a la arquitectura de Android,

se entiende que es un Sistema Operativo basado Linux,

su estructura de sistema de archivos no es una excepción

Android emplea varias particiones para organizar los archivos-carpetas en el dispositivo cada uno con su funcionalidad

Principalmente existen seis particiones,

se debe contar con la existencia de particiones adicionales que difieren entre un modelo y otro

Arranque

El punto de montaje es /dev/mtd/mtblock3 yaffs2,

en /dev/block/bootdevice/by-name/system para ext4,

formatos de archivos que se emplean en la mayoría de dispositivos

Incluye bibliotecas del sitema y aplicaciones preinstaladas

Recuperación /data

UserData

/dev/mtd/mtblock5 para yaffs2,

en /dev/block/bootdevice/byname/userdata para ext4

El sistema de archivos tiene el punto de monatejsistema de archivos,

incluyendo los datos de personalización /cache

en /dev/block/bootdevice/byname/cache

Se utiliza para almacenar datos temporales de caché

Misceláneos

Además,

se presenta la tarjeta SD de particiones del sistema de archivos

El punto de montaje /dev/mtd/mtblock4 yaffs2

Android ICS o la versión JB usa el directorio /data/media para la memoria interna sd card,

además utiliza fuse para el montaje del emulador interno /dev/fuse para ext4

Una de las múltiples alternativas para verificar el sistema de archivos es utilizar el Sistema Operativo Santoku Linux para establecer conexión por medio de Adb

Figura 4

Sistema de archivos Android dispositivo Aquarius E5 4G

Nota: el sistema de arranque y partición no se muestra en la imagen 4

Se puede utilizar el comando mount para verificar los sistemas mencionados

Figura 4

El núcleo de Android se basa en Linux,

para el analista forense es importante escalar privilegios sobre todo cuando se encuentra con un dispositivo con passcode

Se puede aplicar algún método como los descritos en el trabajo para llegar a obtener dicha clave,

buscar e intentar explotar algún tipo de vulnerabilidad en el sistema

Drozer asume el papel de una aplicación de Android que permite interactuar con otras aplicaciones

Se puede realizar pruebas en un aplicación instalada para descubrir características como hacer uso del Inter-Proceso de Comunicación en Android Comunicación (IPC) y el mecanismo de interactuar con el sistema operativo subyacente

Drozer se utiliza para explotar de forma remota los dispositivos Android,

mediante la construcción de archivos maliciosos o páginas web que explotan las vulnerabilidades conocidas

Para ejecutar los exploits se utiliza un agente Drozer que es esencialmente una herramienta de administración remota

Dependiendo de los permisos concedidos a la aplicación puede ser vulnerable

Se puede instalar un agente completo o limitado en el proceso utilizando técnicas para generar shell inversa

El proceso de instalación de drozer se puede consultar en el documento drozer Guide User [21],

o consutar en el anexo de este documento

En la investigación forense del dispositivo,

es necesario el análisis de las aplicaciones instaladas con la finalidad de localizar archivos y base de datos que aporte inf