Investigarea criminalistică a sistemului de operare iOS

Geodate

Abstract.
Smartphones provide a lot of interesting data for a forensic investigator. As many apps
make use of location information to provide or enhance their services, the log files of
smartphones can contain valuable geodata. Based on geodata it is possible to reconstruct the
whereabouts of the phone and its user at certain points in time. The functionality to analyse
geodata based on GPS coordinates is standard for many mobile forensics tools. Unfortunately,
many smartphone apps log their geodata in human readable format only, which makes it harder
for investigators to get and analyse this important information. This paper proposes a simple but
comprehensive approach to the analysis of all geodata on a smartphone. The approach uses
simple app-specific descriptions of the geodata information stored in smartphones and thus
enables an automatic extraction and presentation of all relevant geodata. The approach is
currently being implemented for iOS smartphones.1

Cuvinte cheie: telefon mobil, smartphone, criminalistică, geodate, iOS.

Introducere:
Piața smartphone-urilor s-a dezvoltat rapid în ultimii ani. În trimestrul patru al anului
2010, transporturile de telefoane mobile la nivel mondial au totalizat 401 milioane de unități .
Aproximativ 25 % din aceste unități (mai exact 101 de milioane ) au fost smartphone-uri. Ceea
ce distinge aceste smartphone-uri de telefoanele mobile obișnuite sau, așa cum mai sunt numite,
telefoane "dumb", este capacitatea lor de calcul mai mare și conectivitate, care permite
utilizatorilor să instaleze și să ruleze aplicații avansate. Pintre caracteristicile generale ale unui
smartphone se numără și:
1
Forensic Analysis of Geodata in Android Smartphones, Stefan Maus, Hans Höfken, Marko Schuba.

1
 • ele nu mai sunt optimizate numai pentru telefonie, ci pentru utilizarea unei game largi
de aplicații. Acest lucru se reflectă și în interfața utilizatorului, care de obicei constă dintr-un
ecran mare, cu o tastatură alfanumerică sau un touchscreen 2.

• ele rulează adesea cu un sistem de operare complet, cu un API 3 deschis, care permite
utilizatorilor să instaleze aplicații dezvoltate de terți.

• ele oferă o varietate de metode de conectivitate, de exemplu, WLAN 4 și Bluetooth5

(pentru acces fără fir intr-o retea locala), GSM6, UMTS7, HSDPA8 și USB (de exemplu, pentru
sincronizarea cu un computer local).

Datorită multitudinii de noi funcții date unui telefon, de noi tehnologii integrate în acesta,
urmărirea acestuia a devenit mult mai ușoarș pentru un investigator , acesta având la îndemână
mai multe instrumente de cercetare criminalistică.

Există diverse metode pentru a determina poziția geografică a unui telefon mobil. Cele
mai comune sunt GPS, folosind ID-ul telefonului, măsurătorile puterii semnalului de la rețelele
de telefonie mobilă sau folosirea smartphoneului în imediata vecinătate a spațiilor de hotspot9-uri
WLAN. Din punct de vedere criminalisticii informatice, metoda utilizată pentru a obține poziția
este importantă, deoarece determină exactitatea datelor spațiale colectate.

Geodatele la nivelul sistemului de operare iOS.

GPS-ul a a fost introdus în familia iPhone prin modelul iPhone 3G. Însă aceasta a fost o
versiune asistată a GPS-ului, ceea ce însemna că era nevoie de triangulația undelor radio pentru
stabilirea locației dispozitivului, iar receptorul GPS urma să stabilească exact punctul unde
aparatul a fost localizat. Aceasta interdepență a dus la existența unor mici erori în stabilirea
poziției, făcând –o inexactă. Acest lucru a fost îmbunătățit prin actualizări firmware 10 la modelul
următor, iPhone 3GS

În acest articol vom trata problema geodatelor prin prisma informațiilor de acest tip,
furnizate de diferite aplicații, instalate de un utilizator obișnuit neștiind că întreaga sa activitate
ulterioară prin acea aplicație va fi înregistrată, putând oricând fi folosită împotriva sa. Astfel,
întâlnim:

2
este un ecran Lcd, peste care stă o componenta sensibilă la atingere, numită digitizer
3
Application Programming Interface- reprezinta o interfeța pentru programarea de aplicații
4
 Local Area Network
5
este un set de specificații (un standard) pentru o rețea fără fir (wireless), bazată pe unde radio.
6
Global System for Mobile communications
7
Universal Mobile Telecommunications System 
8
High-Speed Downlink Packet Access
9
Locul de unde pot accesa o retea wireless
10
programe speciale, de mici dimensiuni, care asigură comanda și controlul unor aparate și dispozitive de o oarecare
complexitate

2
 Aplicația Hărți Google

Aceasta a fost întalnita pentru prima dată pe iPhone 2G, iar aceasta oferea direcțiuni
punct-cu-punct, spre deosebire de versiunile mai noi, care folosescghidare prin turn-by-turn. Prin
aceasta aplicație utilizatorul poate localiza puncte de interes (POI11) prin dispozitiv, lucru ce oferă
mai multe informatii cu privire la locația respectivă și pentru preluarea traseului ce trebuie urmat
pentru a ajunge la destinația aleasă.

Acest tip de date introdus de utilizator poate fi util, dacă se efectuează o cercetare
criminalistica a dispozitivului. Fie că e vorba de o cercetare fizică a telefonului, fie că e vorba de
cea a sistemului de operare, următoarea cale este locația implicită pentru aplicația Hărți: / Library
/ Maps. Aici vom găsi trei liste de proprietate:

-History.plist;

- directions.plist;

-andbookmark.plist.

Conținutul listei history.plist cuprinde toate interogările care au fost efectuate pe

aplicația Hărți (Maps).Următoarele informații pot fi colectate de la history.plist:

􀀁 textul interogărilor efectuate;

􀀁 urmează valorile pentru latitudine și longitudine. Așezați aceste valori în Google Maps
pentru a obține locația de unde a fost făcută interogarea. Aceste tipuri de informatii pot ajuta în
a arăta, eventual, existența vreunei premeditări a unei infracțiuni prin căutarea pentru a obține și
de direcțiile de a ajunge si de a pleca de la locul unei crime. Acest lucru facilitează posibilitatea
de a recrea direcții la acea locație. Modul in care apar valorile:

11
Points of interest

3
 Latitudinea și longitudinea- valori de la history.plist Imaginea 1:

Imagine
a1

􀀁 Latitudine: 38.94725

􀀁 Longitudine: -76.86958

􀀁 Locul de amplasare

􀀁 De interogare.

􀀁 Nivelul zoom-ului de hartă.

􀀁 Interval longitudine, care poate fi asistat prin instrumente software de tip HTML
markup.

Datele geografice de la nivelul imaginilor si videoclipurilor

Aceste date geografice poarta denumirea in engleză de geotagging, iar la început putea fi
întâlnită numai la aparatele foto digitale, performante. Producătorii telefoanelor mobile au
observat beneficiile de a adăuga GPS la telefoane si, ulterior, de a adăuga posibilitatea existenței
datelor GPS în valorile EXIF ale unei imagini. EXIF (Exchangeable Image File) este generat de

4
către camera și implementat în caracteristicile fotografiei. Acest lucru mai este cunoscut și sub
numele de metadate geospațiale. Acum, aceste valori pot consta din
􀀁 Latitude
􀀁 Longitudine
􀀁 Altitudine
􀀁 Pozitia busolei
􀀁 Acuratețea datelor
La iPhone, conceptul de etichetare geografică a sosit cu iPhone 3G și iOS 3. Atât iPhone
2G si 3G iPhone au avut capacitatea de a implementa la nivelul fotografiilor aceste metadate
geospatiale. Imaginile, care au fost efectuate cu aparatul de fotografiat iPhone, sunt stocate în
directorul / Media/DCIM/100APPLE. IPhone 2G nu a avut un receptor GPS asemenea
versiunilor mai moderne, însă deriva datele geospațiale prin triangulare de la turnurile
telefoanelor mobile. Imaginea 2 arată o fotografie efectuată cu un iPhone 2G cu iOS 3,având și
rezultatele căutării geodatelor.

Imaginea 2

5
 In cazul videoclipurilor, programelor de cercetare criminalistică le este mai greu să
găsească geodatele, acestea aflându-se la finalul fișierului, asta pentru că fișierul nu este un EXIF
standard.

Turnurile de date de telefonie mobilă

Turnul de telefonie mobilă are, de asemenea, date geospațiale. Aceste date se referă la
toate turnurile de telefonie mobila cu care iDevice intră în contact, mai exact intră în aria lor de
acoperire. Această listă poate fi foarte extinsă și vă poate ajuta în investigații în plasarea unui
telefon într-o zonă, la o anumită dată și oră aflată în aria unui anumit turn de telefonie. Aceste
puncte de date și-au schimbat tipurile de fișier în timp. Ele au fost mai întâi văzute ca liste de
proprietate, iar acum sunt baze de date SQLite. Unele nu puteau fi văzute si cu atat mai putine
extrase în vederea efectuării unei investigații, dar acum lucrurile s-au schimbat.
Aceastea pot fi găsite / Library / Caches / location d director. Pe un iPhone 4, puteți găsi
acum locația și datele geospatiale în structura director. Fișierele care se afla în acest dosar sunt:
􀀁 Consolidated.db
􀀁 gyroCal.db
􀀁 clients.plist
􀀁 Cache.plist: cuprinde ultima locație în care a fost utilizat GPS-ul.
􀀁 H-wifi.plist;
Această listă oferă un istoric al coordonatelor GPS, cu referire la conexiunile WiFi, in
raza cărora dispozitivul Apple le-a accesat. Aceasta conține următoarele valori (a se vedea
Imaginea 3)

Imaginea 3

6
 􀀁 Vechimea / ora
􀀁 Altitudine
􀀁 Curs
􀀁 Pozitia busolei
􀀁 Precizia măsurătorilor în plan orizontal
􀀁 Latitude
􀀁 Longitudine
􀀁 Viteza
􀀁 Timpul
􀀁 Precizia măsurătorilor în plan vertical

Aplicatii de navigare de pe iTunes

Există numeroase aplicații GPS pentru iPhone. Cele mai notabile sunt Tom Tom și
Navigon. Ambele aceste aplicații sunt GPS turn-by-turn, aplicații care sunt concepute pentru a
funcționează aproape la fel ca omologii lor

Încheiere
După cum putem observa din cele prezentate până aici, dispozitivele iOS conțin o mare
de informații, ele reușind să ofere unui investigator bine pregătit o portiță în viața utilizatorilor
lor. Datorită dependenței tot mai mari a oamenilor pentru aceste smartphone-uri, detalii
importante, referitoare la viata privata a acestora pot fi găsite într-un astfel de dispozitiv care pot
duce fie la condamnarea celui în cauză, fie la oferirea unui alibi greu de combătut.

7
 Bibliografie:

1.”Ios ForensicAnalysis for iPhone, iPad and iPod touch”,2010, Sean Morrissey;

2. “Forensic Analysis of Geodata in Android Smartphones”,Stefan Maus, Hans Höfken,

Marko Schuba FH Aachen, University of Applied Sciences;
3. http://computer-forensics.sans.org/summit-archives/2011/iOS-forensics.pdf;
4.www.wikipedia.com;
5. http://www.cellebrite.com/forensic-solutions/ios-forensics.html.