Bluetooth in Digital Mobile Forensics

Nick Casier
Persbericht

Laat bluetoothgebruik voor de politie bruikbare sporen na op mijn smartphone?

Bluetooth, een draadloze technologie die u waarschijnlijk vaker gebruikt dan u denkt. Denk eens aan alle apparaten die u gekoppeld heeft met uw smartphone. Mediaspelers, uw wagen, stappenteller en nog zoveel meer. Bij het gebruik van dergelijke technologieën wordt (controle) data gegenereerd. Deze data moet de goede werking van de technologieën garanderen. Dit is bij bluetooth niet anders. Deze data kan zeer veel informatie bevatten, informatie die bijvoorbeeld tijdens een forensisch onderzoek relevante informatie kan blootleggen. Maar wat is dit nu? Wat is die “controle data”? Wat is een forensisch onderzoek?

Wat is Bluetooth?

Bluetooth is een vaak gebruikte draadloze technologie voor het versturen van gegevens tussen apparaten. Dit kan gaan van toetsaanslagen van een draadloos toetsenbord naar een computer tot het synchroniseren van uw smartphone met uw wagen, het afspelen van muziek op een bluetoothluidspreker tot het versturen van een foto vanop uw mobiel toestel naar uw laptop. Kortom, als er data draadloos overgedragen wordt tussen twee toestellen over een korte afstand, is de kans groot dat dit via bluetooth gebeurt.

Figuur 1 - Visualisatie van bluetooth communicatie tussen twee smartphones

Figuur 1 - Visualisatie van bluetooth communicatie tussen twee smartphones

Zoals u kan afleiden van deze voorbeelden is bluetooth een technologie die toegankelijk is voor iedereen en flexibel is in zijn toepassingen. De technologie is niet beperkt tussen platformen, systemen of apparaten. Elk apparaat dat over bluetooth beschikt kan met een ander bluetoothapparaat communiceren.

Wat is een Digital (Mobile) Forensics Onderzoek?

Mobile digital forensics wordt als een aparte tak binnen digital forensics gezien doordat er enkele extra uitdagingen zijn op mobiele toestellen. Mobile digital forensics steunt op de vier zelfde basisfundamenten als de “klassieke” digital forensics. Digital forensics kan gedefinieerd worden als het proces van identificatie, captatie, extractie en documentatie. Deze vier fundamenten zijn allemaal even belangrijk tijdens het uitvoeren van een forensisch onderzoek. Het is de bedoeling dat de forensisch onderzoeker het onderzoek kan uitvoeren zonder hierbij veranderingen aan het systeem aan te brengen.

Figuur 2 - Vier basis fundamenten van een digitaal forensisch onderzoek

 Figuur 2 - Vier basis fundamenten van een digitaal forensisch onderzoek

Tijdens ons onderzoek spitsten we ons specifiek toe op Android toestellen, gezien dit het grootste marktaandeel van de smartphones betreft. De snelle evolutie van het besturingssysteem is hierbij een van de grootste uitdagingen.  Het feit dat elke fabrikant van smartphones zijn eigen toets aan Android geeft, is een bijkomende uitdaging. Deze snelle evolutie van Android en de aanpassingen die de fabrikanten aan het besturingssysteem aanbrengen, zorgen er voor dat een tool om een forensisch onderzoek uit te voeren, en op een bepaald toestel werkt, niet noodzakelijk op een ander toestel zal werken.

Testcase

Aangezien we zochten naar informatie op het toestel dat gecreëerd werd door een bluetooth koppelingsverzoek, en de reeds bestaande tools hier geen antwoord op kunnen bieden, moesten we een nieuwe methode uitwerken om de informatie te vinden. Deze informatie wordt in een digitaal forensisch kader een artefact genoemd. Een artefact wordt gecreëerd bij het gebruiken van technologieën zonder dat dit expliciet de bedoeling is.

Door gebruik te maken van een standaard ingebouwde tool van Android, genaamd Android Debug Bridge (adb), zijn we erin geslaagd om een artefact te vinden. Deze tool, adb, is bedoeld voor de ontwikkeling van nieuwe apps of functionaliteit voor het Android besturingssysteem. In het gevonden artefact kunnen we duidelijke verschillen waarnemen afhankelijk van de context van het koppelingsverzoek, zoals zichtbaar in Figuur 3 - Gedragingen van het gevonden artefact.

Figuur 3 - Gedragingen van het gevonden artefact

Figuur 3 - Gedragingen van het gevonden artefact

Wat is de waarde van deze vondst?

 

De waarde van een artefact hangt voor een digitaal forensisch onderzoek in hoofdzaak af van twee zaken. Ten eerste, wat is de levensduur van het artefact. Dit wil zeggen, tot hoelang nadat acties werden uitgevoerd kan de data teruggevonden worden. En ten tweede, is de informatie relevant. Dit wil zeggen, bevat het artefact informatie die bruikbaar is in de context van het onderzoek.

Stel, we willen achterhalen of een toestel een foto via bluetooth heeft verstuurd naar een ander apparaat. Zoals we kunnen zien in Figuur 3 - Gedragingen van het gevonden artefact, is er een specifiek gedrag met deze actie verbonden aan het artefact. De informatie is dus zeker relevant. Echter, de levensduur van het gevonden artefact is beperkt. Wanneer bluetooth uitgeschakeld werd, bijvoorbeeld door het toestel uit te schakelen of te herstarten, vliegtuigstand in te schakelen of door bluetooth gewoon uit te zetten, verdwijnt alle informatie uit het gevonden artefact.

Er is meer...

Naast informatie over bluetooth, kunnen we nog veel meer informatie op dezelfde manier achterhalen. Zo kunnen we bijvoorbeeld elk account dat op het toestel gebruikt wordt, terugvinden met de overeenkomstige app. Deze informatie is in een forensisch kader zeer waardevol. Deze informatie blijft op het toestel aanwezig zolang het toestel niet gereset werd. Zo zijn er nog talloze voorbeelden van informatie die we op deze manier kunnen vinden. Sommige artefacten gedragen zich zoals het bluetooth artefact, andere gedragen zich zoals de accounts. Om al deze informatie te kunnen achterhalen, werd er een tool ontwikkeld. Dankzij deze tool gaat deze informatie niet verloren tijdens de standaardprocedure voor inbeslagname. De standaardprocedure is namelijk om het toestel uit te schakelen of op vliegtuigstand te zetten om te voorkomen dat het toestel vanop afstand gewist wordt, om een zogenaamde “remote wipe” tegen te gaan.

Besluit

We hebben een nieuwe manier gevonden om interessante informatie die tot op heden nog onbekend was voor een forensisch onderzoek in beeld te brengen. Dit zonder invloed te ondervinden van de Android versie waarover het toestel beschikt of eventuele aanpassingen van de fabrikant aan het systeem. Via de ontwikkelde tool kan op een eenvoudige manier deze informatie tijdens een inbeslagname gevrijwaard worden, zonder dat de persoon die de inbeslagname uitvoert over enige technische vaardigheden hoeft te beschikken. Na het gebruiken van de tool kunnen de huidige procedures verder gehanteerd worden.

Zoals deze quote aangeeft, we zochten oorspronkelijk een speld in een hooiberg, maar we hebben wel onze speld gevonden.

Figuur 4 - A few words on looking for things

Figuur 4 - A few words on looking for things 
Bibliografie
  1. Statcounter, “Mobile Operating System Marktet Share Februari 2020,” February 2020. [Online]. Available: https://gs.statcounter.com/os-market-share/mobile/worldwide.
  2. Statista, “Mobile Operating Systems' Market Share Worldwide,” January 2020. [Online]. Available: https://www.statista.com/statistics/272698/global-market-share-held-by-….
  3. hostingtribunal.com, “Mobile and Desktop Operating System Market Share,” 2020. [Online]. Available: https://hostingtribunal.com/blog/operating-systems-market-share/#gref.
  4. J. Padgette, R. Smithbey, J. Bahr, L. Chen, M. Batra, K. Scarfone and M. Holtmann, “Guide to Bluetooth,” NIST, Gaithersburg, 2017.
  5. Lynxbee, “Understanding Bluetooth Basics – Pairing and Handshaking process,” 2020. [Online]. Available: https://www.lynxbee.com/understanding-bluetooth-basics-pairing-and-hand….
  6. M. McLaughlin, “How to Root Your Android Phone,” Lifewire, 16 March 2020. [Online]. Available: https://www.lifewire.com/how-to-root-your-android-phone-121676.
  7. Android Developers, “Android Debug Bridge (ADB),” 9 March 2020. [Online]. Available: https://developer.android.com/studio/command-line/adb.
  8. Tsurugi, “About us,” March 2020. [Online]. Available: https://tsurugi-linux.org/about_us.php.
  9. Tsurugi, “Your DFIR Linux Disctribution,” 9 March 2020. [Online]. Available: https://tsurugi-linux.org/.
  10. P. Andriotis, G. Oikonomou and T. Tryfonas, “Forensic Analysis of Wireless Networking Evidence of Android Smartphones,” University of Bristol, Bristol, 2012.
  11. Android Developers, “Logcat command-line tool,” 9 March 2020. [Online]. Available: https://developer.android.com/studio/command-line/logcat.
  12. Android Developers, “dumpsys,” 9 March 2020. [Online]. Available: https://developer.android.com/studio/command-line/dumpsys.
  13. Linux Freedom, “Tsurugi LInux,” 9 March 2020. [Online]. Available: http://linuxfreedom.com/tsurugi/.
  14. M. Rutnik, “What is stock Android?,” 20 January 2019. [Online]. Available: https://www.androidauthority.com/what-is-stock-android-845627/.
  15. D. Tobok, “What Is Digital Forensics?,” 15 Februari 2018. [Online]. Available: https://cytelligence.com/resource/what-is-digital-forensics/.
  16. I. Spais, “Introduction to Digital Forensics,” 18 December 2019. [Online]. Available: https://www.cipsec.eu/content/introduction-digital-forensics.
  17. M. Sonntag, Introduction to Computer Forensics, Linz: Johannes Kepler University, 2012.
  18. P. Marjie T. Britz, Computer Forensics and Cyber Crime - An Introduction, Clemson: Pearson, 2013.
  19. J. Lyle, Digital Forensics or Your trail is easier to follow than you think, NIST, 2015.
  20. S. L. Ksander, Introduction to Digital Forensics, West Lafayette, Indiana: Purdue University, 2020.
  21. K. Kent, S. Chevalier, T. Grance and H. Dang, “Guide to Integrating Forensic Techniques into Incedent Response,” NIST, Gaithersburg, 2006.
  22. P. Greg Gogolin, “Digital Forensics Explained,” Taylor & Francis Group, Boca Raton, 2013.
  23. J. Fruhlinger, “What is digital forensics? And how to land a job in this hot filed,” 25 January 2019. [Online]. Available: https://www.csoonline.com/article/3334396/what-is-digital-forensics-and….
  24. M. Al-Hadadi and A. Al Shidhani, “Smartphone Forensics Analysis: A Case Study,” International Journal of Computer and Electrical Engineering, vol. Vol. 5, no. No. 6, pp. 576-580, December 2013.
  25. Guru99, “What is Digital Forensics? History, Process, Types, Challenges,” 19 April 2020. [Online]. Available: https://www.guru99.com/digital-forensics.html.
  26. XDA Developers, “What is ADB? How to Install ADB, Common Uses, and Advanced Tutorials,” 2020. [Online]. Available: https://www.xda-developers.com/what-is-adb/.
  27. Information Security and Forensics Society (ISFS), “Computer Forensics - Part 1: An Introduction to Computer Forensics,” april 2004. [Online]. Available: http://www.isfs.org.hk/publications/ComputerForensics_part1.pdf.
  28. P. Coeck, Interviewee, Digital Forensic Researcher. [Interview]. March 2020.
  29. Bluetooth SIG, “Bluetooth,” 2020. [Online]. Available: bluetooth.com.
  30. Bluetooth SIG, “Bluetooth Core Specification v5.0,” Bluetooth SIG, Kirkland, Wachington, 2016.
  31. Bluetooth SIG, “Our histery,” 2020. [Online]. Available: https://www.bluetooth.com/about-us/our-history/.
  32. IEEE, “802.15.1-2002 - IEEE Standard for Telecommunications and Information Exchange Between Systems - LAN/MAN - Specific Requirements - Part 15: Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications for Wireless Personal Area Networks ...,” 14 June 2002. [Online]. Available: https://ieeexplore.ieee.org/document/1016473.
  33. IEEE, “802.15.1-2005 - IEEE Standard for Information technology-- Local and metropolitan area networks-- Specific requirements-- Part 15.1a: Wireless Medium Access Control (MAC) and Physical Layer (PHY) specifications for Wireless Personal Area Networks (WPAN),” 14 June 2005. [Online]. Available: https://ieeexplore.ieee.org/document/1490827.
  34. M. Woolley, “Bluetooth Core Specification Version 5.2,” Bluetooth SIG, Kirkland, Wachingoton, 2020.
  35. S. Vafaei and M. Henney, “Bluetooth Versions Comparison & Profiles,” RTINGS.com, 6 July 2017. [Online]. Available: https://www.rtings.com/headphones/learn/bluetooth-versions-comparison-p….
  36. David, “What's the Difference between Bluetooth Versions 2.x, 3.x, 4.x and 5.x,” The Droid Guy, 9 April 2020. [Online]. Available: https://thedroidguy.com/whats-difference-between-bluetooth-versions-2-x….
  37. J. Flynt, “What's the Difference between Bluetooth Versions 2, 3, 4 and 5?,” 3DInsider, 12 January 2019. [Online]. Available: https://3dinsider.com/bluetooth-versions/.
  38. I. A. Nguyen, “Bluetooth 1.0 vs 2.0 vs 3.0 vs 4.0 vs 5.0 - How They Compare,” 18 April 2018. [Online]. Available: https://www.semiconductorstore.com/blog/2018/Bluetooth-1-0-vs-2-0-vs-3-….
  39. SSH.com, “Root User,” SSH.com, 2020. [Online]. Available: https://www.ssh.com/iam/user/root/.
  40. Urban Dicrionary, “Urban Dicrionary: Bricked,” 2020. [Online]. Available: https://www.urbandictionary.com/define.php?term=bricked.
Universiteit of Hogeschool
Toegepaste Informatica Computer and Cyber Crime Professional
Publicatiejaar
2020
Promotor(en)
Daan Pareit en Kris Carlier
Kernwoorden
@casiernick
Share this on: