Acquisition
Ressources utiles
ifixit.com: iFixit est un site contenant un ensemble de guides pratiques pour réparer des appareils spécifiques, ces guide contiennent des explications détaillées sur la menière de démonter l'appareil et sur leurs composants internes ce qui peut être utile dans le cadre d'une investigation.
https://play.google.com/store/apps/details?id=com.cpuid.cpu_z: CPU-Z est une application de diagnostic légère qui fournit des informations matérielles détaillées sur le processeur, l'architecture système et la configuration mémoire d'un appareil. Sous Android, elle affiche des données en temps réel sur le système sur puce (SoC), notamment le nombre de cœurs du processeur, la fréquence d'horloge, le type de GPU et le processus de fabrication.
Extraction
Les méthodes d'extractions sont différentes suivant la marque et le modèle du device, on utilise généralement les méthodes suivantes:
Extraction physique
Extraction logique
Extraction du filesystem (complet ou non)
En dernier recours, il peut être nécessaire de rooter/jailbreaker l'appareil pour accéder a certains éléments qui nécessitent des privilèges élevés, cependant cela est généralement déconseillé car le porcessus peu endommager ou supprimer des preuves.
System On Chip
Puces Snapdragon
Caractéristiques principales:
La plus répandue
Qualcomm Secure Execution Environment (QSEE), une zone de sécurité pour les données et les clés.
File-Based Encryption (FBE) depuis Android 10+ ce qui rend les extractions de données bien plus compliquées depuis ces versions d'Android.
Cependant, les puces Snapdragon sont supportées par la plupart des outils de forensique populaires tels que Cellebrite, Oxygen, MSAB etc.
Emergency Download Mode (EDM) peut servir de point d'entré bien que les appareils les plus récents restreignes ou suppriment complétement cet accès.
Les appareils Pixel sont généralement plus flexibles et disposent de documentation et d'une communauté très active notamment concernant le débloquage du bootloader.
Puces Samsung Exynos
Caractéristiques principales:
A sa propre TrustZone basée sur l'architecture ARM
Intégration avec Knox pour le secure boot, trusted boot, SE.
Exploitation du custom recovery/bootloader historiquement plus simple que les puces Snapdragon pour les appareil anciens. (Les versions Exynos 2100, 2200 et 2400 disposants d'un niveau de sécurité accru)
Plusieurs outils de forensique connu disposent de capacités d'extraction sur ces puces (à condition qu'elles ne soient pas bloquées par Knox ou la FRP (Factory Reset Protection).
Attention: le rootage d'un appareil peut supprimer le contenu des Dossiers Sécurisé ce qui pourrait faire disparaitre des preuves lors d'une investigation.
Puces HiSilicon Kirin (Huawei)
Caractéristiques principales:
Utilisées sur les appareils Huawei et Honor avant 2020
Built TEE custom (Trusted Execution Environment)
Secure Boot, Verified Boot, et stockage de clés sécurisé
Intégré avec l'eRecovery Huawei et Secure Boot Chain.
Le débloquage du bootloader a été désactivé depuis 2018
La plupart des appareils basés sur Kirin ne supportent pas l'extraction physique sans rootage préalable.
Les extractions logiques limitée depuis Android 10
Puces Mediatek (MTK)
Caractéristiques principales:
Utilisées sur les appareils plus low costs
Trusted Execution Environment (TEE) basique
Secure Boot sur les puces les plus récentes seulement
Sécurité moindre que les autres puces
Contiennent généralement plus de vulnérabilités permettant des extractions physiques et dump mémoire.
Puces Google Tensor (Pixel)
Caractéristiques principales:
Utilisées sur les appareils Pixel 6 et supérieurs
Puces custom avec intégration de Titan M / M2 pour le stockage de clés et la vérification de la boot chain. Ajoute également une couche de sécurité supplémentaire pour la biométrie et les indentifiants.
Chiffrement du disque et sécurité hardware stricte
Extraction physique impossible sur un appareil locké
Extraction logique et file system possible si l'appareil est unlock et si ADB est activé.
Mis à jour