Efterforskningsværktøj giver nyt liv til slettede skærmbilleder

Illustration: Telegram
Kriminaltekniske efterforskere kan med nyt værktøj gendanne dine seneste fem skærmbilleder fra en række populære applikationer.

Opdateret

Forskere fra Purdue University og University of New Orleans har udviklet et værktøj, der kan hjælpe efterforskere med at udvinde data fra hukommelsen fra forskellige applikationer. Det skriver The Register.

Værktøjet, der er døbt Retroscope, genskabte i forsøget data fra 11 tidligere skærmbilleder vist på op til 15 applikationer med et gennemsnit på fem skærmbilleder fra hver.

Ifølge forskningsholdet, der står bag, er det et kriminalteknisk gennembrud.

»Uden at overdrive så føler vi, at denne teknologi repræsenterer et nyt paradigme,« fortæller Brendan Saltaformaggio, der er hovedforfatter på forskningsartiklen, og fortsætter:

»Teknologien er meget forskellig i forhold til alle eksisterende metoder til at analysere både harddiske og volatil hukommelse.«

Brendan Saltaformaggio var meget overrasket over manglen på databeskyttelse på applikationer, når man tager i betragtning, at informationen burde være slettet, efter de er blevet vist.

Bygger på tidligere forskning

Forskernes arbejde bygger på en tidligere teknologi, hvor det lykkedes at gendanne det seneste skærmbillede fra en Android-applikation.

I rapporten, som forskerne har udarbejdet, kan man læse, at Retroscope er inspireret af observationer om, at intern applikationsdata fra skærmbilleder eksisterer meget længere tid i hukommelsen end i den grafiske brugerflades datastrukturer, samt at hver app er i stand til at lave en gendannelse af skærmbillederne ud fra Androids Framework.

Baseret på det indeholder Retroscope en motor, der har indflettet en gendannelsesfunktion til selektivt at genoplive en applikationsskærm. Evalueringen viser, at Retroscope er i stand til at gendanne et sæt skærmbilleder for en række populære applikationer på forskellige Android-enheder.

Applikationerne inkludererede blandt andet Signal, Skype, WeChat, Gmail, Facebook, Whatsapp og Telegram og blev kørt på Samsung S4, LG G3 og HTC One.

Se her, hvordan Retroscope virker.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Simon Bjørnes

Man skal da aldrig sige aldrig men seriøst hvor mange kriminelle sider og tager skærmbilleder af deres kriminalitet for derefter at slette dem igen?

Jeg ser kun et gyldig usecase for dette og det er endnu et overvågnings værktøj af de uskyldige.

  • 0
  • 10
#4 Andy Fischer

"...både harddiske og flygtige minder."

Flygtige minder?!?! Har journalisterne mon hverken den fornødne sproglige eller tekniske formåen til at fange, at der tales om volatil hukommelse, og ikke flygtige minder. Det er efterhånden svært at tage dette site alvorligt.

Der er næppe heller tale om at genskabe slettede skærmbilleder, idet videoen lægger vægt på, at app'en ikke afsluttes efter brug. Der er dermed blot tale om, at genskabe ud fra eksisterende datastrukturer i hukommelsen. Cool alligevel, og brugbart ved konfiskerede mobiler, hvor brugeren ikke har haft tid til at slette sine spor.

  • 5
  • 0
#5 Bent Jensen

Så må vi bare vente med at få denne sikkerheds fejl rettet. Hvor der ikke bliver ryddet op i "cachen". Flere Linux version har noget af det samme, hvor du kan se skærmbilledet fra sidste session kortvarigt, når du logger åbner login skærmen, når systemet har været i dvale. Det findes også i programmer til Windows, i ældre versioner af MS Office, kunne man kortvarigt se det forrige dokument, når man oprettet et nyt. Selv om det var dage, og genstarter efter.

Men igen bare en god grund til kryptering, se at komme i gang.

Alle har et morals ansvar for at bruge VPN, Kryptering , TOR og liggende. For at genere så meget trafik som muligt, så systemkritikere, Whistleblower og almindelige mennesker som prøver at bibeholde retten til et privat liv, har en mulighed for at gemme sig i mængden.

  • 1
  • 1
#6 Gert G. Larsen

Som Bent nævner, har nogle Linux'er en lidt rusten cache, og det samme har BSD. For en del år siden, da jeg blev træt af at se skærmbilleder fra tidligere sessioner, gravede jeg lidt i det, og fik et par tools og scripts ud af det, der kunne trække "gammelt" data ud af grafikkortets memory. Jeg tænkte aldrig på det som "nyt forensics tool". Men det skulle jeg måske ha gjort :-P

  • 1
  • 0
#8 Adam Sjøgren

Afskriften fra The Registers artikel går galt allerede i første sætning.

USENIX er en forening som bl.a. udgiver et blad, afholder konferencer og uddeler priser. Det er ikke et universitet.

Den oprindelige artikel bygger da også på et paper præsenteret på en USENIX-konference, skrevet af forskere på Purdue University og University of New Orleans, direkte linket til fra The Registers artikel.

Selvom man skriver af, skal man altså kunne læse indenad.

  • 3
  • 0
Log ind eller Opret konto for at kommentere