Криминалистический анализ резервных копий HiSuite



    Извлечение данных из Android-устройств с каждым днем становится все более сложным — порой даже сложнее, чем из iPhone. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, что делать, если вы не можете извлечь данные из смартфона на Android стандартными способами.

    Несколько лет назад мы с коллегами обсуждали тенденции развития механизмов безопасности в Android-устройствах и пришли к мысли, что настанет время, когда их криминалистическое исследование станет сложнее, чем для iOS-устройств. И сегодня с уверенностью можно сказать, что это время пришло.

    Недавно я исследовал Huawei Honor 20 Pro. Как вы думаете, что удалось извлечь из его резервной копии, полученной с помощью утилиты ADB? Ничего! В устройстве полно данных: информация о вызовах, телефонная книга, SMS, переписка в мессенджерах, электронная почта, мультимедийные файлы и т.д. А вы не можете ничего этого извлечь. Ужасные ощущения!

    Как же быть в такой ситуации? Хороший выход — использование фирменных утилит резервного копирования (Mi PC Suite — для смартфонов Xiaomi, Samsung Smart Switch для — Samsung, HiSuite для — Huawei).

    В данной статье мы рассмотрим создание и извлечение данных из смартфонов Huawei утилитой HiSuite и их последующий анализ с помощью Belkasoft Evidence Center.

    Какие типы данных попадают в резервные копии HiSuite?


    В резервные копии HiSuite попадают следующие типы данных:

    • данные об аккаунтах и паролях (или токенах)
    • контакты
    • вызовы
    • SMS- и MMS-сообщения
    • электронная почта
    • мультимедийные файлы
    • базы данных
    • документы
    • архивы
    • файлы приложений (файлы с расширениями.odex, .so, .apk)
    • информация из приложений (таких как Facebook, Google Drive, Google Photos, Google Mails, Google Maps, Instagram, WhatsApp, YouTube и т.д.)

    Разберем более подробно, как создается такая резервная копия и как ее проанализировать с помощью Belkasoft Evidence Center.

    Создание резервной копии смартфона Huawei с помощью утилиты HiSuite


    Для создания резервной копии фирменной утилитой ее нужно загрузить с сайта Huawei и установить.

    Страница загрузки программы HiSuite на сайте Huawei:


    Для сопряжения устройства с компьютером используется режим HDB (Huawei Debug Bridge). На сайте Huawei или в самой программе HiSuite есть подробная инструкция о том, как активировать режим HDB на мобильном устройстве. После активации режима HDB запустите на мобильном устройстве приложение HiSuite и введите код, отображаемый в этом приложении, в окно программы HiSuite, запущенной на компьютере.

    Окно ввода кода в десктопной версии HiSuite:


    В процессе создания резервной копии потребуется ввести пароль, который будет использоваться для защиты данных, извлеченных из памяти устройства. Созданная резервная копия будет располагаться по пути C:/Users/%User profile%/Documents/HiSuite/backup/.

    Резервная копия смартфона Huawei Honor 20 Pro:


    Анализ резервной копии HiSuite с помощью Belkasoft Evidence Center


    Для анализа полученной резервной копии с помощью Belkasoft Evidence Center создайте новое дело. Затем в качестве источника данных выберите пункт Mobile Image. В открывшемся меню укажите путь до каталога, где размещается резервная копия смартфона, и выберите файл info.xml.

    Указание пути до резервной копии:


    В следующем окне программа предложит выбрать типы артефактов, которые необходимо найти. После запуска сканирования перейдите во вкладку Task Manager и кликните кнопку Configure task, так как программа ожидает ввода пароля для расшифровки зашифрованной резервной копии.

    Кнопка Configure task:


    После расшифровки резервной копии Belkasoft Evidence Center попросит повторно указать типы артефактов, которые необходимо извлечь. После окончания анализа информацию об извлеченных артефактах можно просмотреть во вкладках Case Explorer и Overview .

    Результаты анализа резервной копии Huawei Honor 20 Pro:


    Анализ резервной копии HiSuite с помощью программы «Мобильный Криминалист Эксперт»


    Другая криминалистическая программа, с помощью которой можно извлечь данные из резервной копии HiSuite, — «Мобильный Криминалист Эксперт».

    Чтобы обработать данные, находящиеся в резервной копии HiSuite, кликните на опцию Импорт резервных копий в главном окне программы.

    Фрагмент главного окна программы «Мобильный Криминалист Эксперт»:


    Или в разделе Импорт выберите тип импортируемых данных Резервная копия Huawei:


    В открывшемся окне укажите путь до файла info.xml. При старте процедуры извлечения появится окно, в котором будет предложено либо ввести известный пароль для расшифровки резервной копии HiSuite, либо применить инструмент компании Passware, чтобы попробовать подобрать этот пароль, если он неизвестен:


    Итогом анализа резервной копии будет окно программы «Мобильный Криминалист Эксперт», в котором показаны типы извлеченных артефактов: звонки, контакты, сообщения, файлы, лента событий, данные приложений. Обратите внимание на количество данных, извлеченных из различных приложений этой криминалистической программой. Он просто огромен!

    Список извлеченных типов данных из резервной копии HiSuite в программе «Мобильный Криминалист Эксперт»:


    Расшифровка резервных копий HiSuite


    Что же делать если у вас нет этих замечательных программ? В этом случае вам поможет Python-скипт, разработанный и поддерживаемый Франческо Пикассо (Francesco Picasso), сотрудником Reality Net System Solutions. Этот скрипт вы можете найти на GitHub, а его более подробное описание — в статье «Huawei backup decryptor».

    В дальнейшем расшифрованная резервная копия HiSuite может быть импортирована и проанализирована с помощью классических криминалистических утилит (например, Autopsy) или вручную.

    Выводы


    Таким образом, используя утилиту резервного копирования HiSuite, из смартфонов Huawei можно извлечь на порядок больше данных, чем при извлечении данных из этих же устройств с использованием утилиты ADB. Несмотря на большое количество утилит для работы с мобильными телефонами, Belkasoft Evidence Center и «Мобильный Криминалист Эксперт» — одни из немногих криминалистических программ, которые поддерживают извлечение и анализ резервных копий HiSuite.

    Update


    После дополнительных тестов, установлено следующее:

    1) Данные приложения Google Chrome не попадают в резервную копию HiSuite.

    2) По каким-то причинам разработчики фирменной утилиты бэкапирования запретили передачу данных ряда приложений в резервные копии, создаваемые новыми версиями HiSuite. Поэтому, если Вы хотите извлечь из смартфона максимум данных, используйте максимально старую версию HiSuite, дата выпуска которой должна приблизительно совпадать с датой выпуска смартфона Huawei.

    3) Версия мобильного приложения Huawei Suite, установленная на смартфоне, должна соответствовать версии HiSuite, установленной на компьютере исследователя.

    Group-IB
    Компания

    Комментарии 6

      +1
      Не очень понял в чём именно проблема. Судя по описанию только в неудобной выгрузке в машиночитаемый формат с разблокированого телефона. Неужели преступники не лочат телефон и не включают полнодисковое шифрование, так что главная проблема это не в том чтобы получить доступ к телефону, а в том, чтобы красиво выгрузить данные?
        –1
        Проблема заключается в том, что даже из незаблокированного топового Android-смартфона извлечь данные очень сложно. Еще, начиная с древней операционной системы Android 6, данные в памяти смартфона шифруются по умолчанию. Этот процесс прозрачен для пользователя и работает независимо от того, активировал пользователь шифрование на устройстве или нет (владелец устройства может не осознавать, что устройство шифрует его данные). Это делает практически неприменимым использование таких методов извлечения информации из смартфонов, как: Chip-off, JTAG, ICP (In-System Programming). Попытка же получить права суперпользователя на устройстве, как правило, приводит к удалению данных в разделе DATA (USERDATA).

        В исторической перспективе, изначально, в резервные копии Android смартфонов попадало очень мало типов данных (в отличие от резервных копий iTunes). А сейчас попадает еще меньше. Все это, в совокупности, делает извлечение данных из топовых Android смартфонов нетривиальной задачей.

        Поэтому использование фирменных утилит резервного копирования становится одним из возможных путей быстрого получения основных типов данных из мобильного устройства.
        0
        del
          0
          Под хабом информационной безопасности и реверс инжиринга мы видим статью аля 4pda, как здорово пользоваться фирменными утилитами от телефонов для выгрузки бэкапа (криминаллистический анализ разблокированного телефона, с включенным режимом разработчика).
            –1
            А как вы будете решать элементарную для безопасника задачу: проверить смартфон HUAWEI на наличие spyware/malware/иных приложений осуществляющих мониторинг действий пользователя? Доступа к файловой системе у вас нет. Получение прав суперпользователя приведет к сбросу пользовательских данных и заодно уничтожит файлы установленных пользователем программ. Описанный же в статье метод позволяет безопасно извлечь достаточное количество информации не только для того, чтобы понять: установлены ли подобные приложения или нет, а также определить, как эти приложения на устройство попали.
            0
            проверить смартфон HUAWEI на наличие spyware/malware/иных приложений осуществляющих мониторинг действий пользователя?

            Нет никакого смысла проводить анализ смартфона HUAWEI, чтобы установить факт наличия шпионских модулей. По моему сугубо личному мнению, наличие шпионских модулей в актуальных стоковых прошивках Huawei — это уже давно установленный факт, который вы по какой-то причине предпочитаете не замечать. Во всех актульных стоковых прошивках смартфонов Huawei и Honor присутствует модуль от скандально известной китайской компании Qihoo 360.

            Печальную известность компания Qihoo 360 приобрела после того, как исследователи обнаружили шпионские модули данного производителя в прошивках смартфонов Samsung и Huawei. Модуль от Qihoo 360 был уличен в том, что собирал персональную информацию и отправлял ее на сервера в Китае.

            Кстати, они были вашими коллегами, пока не «вскрылись». Или может быть они все еще являются вашими коллегами? Было бы очень интересно это узнать для понимания того, кто и как занимается информационной безопасностью в РФ.

            В случае Samsung шпион был встроен в системное приложение и отвечал за функции оптимизации и очистки. В прошивках Huawei реализовано аналогичным образом — модуль от Qihoo 360 интегрирован в неудаляемое системное приложение «Диспетчер», где отвечает за функции очистки файловой системы от мусора (Очистка памяти). Указанное системное приложение имеет полный доступ ко всем данным на устройстве. Приложение нельзя ни удалить, ни отключить, ни забликировать доступ в интернет.

            В США и Европе случился скандал касательно Samsung, владельцы аппаратов Samsung создавали массовые петиции с требованием удалить шпионские модули. Под угрозой репутационных потерь Samsung была вынуждена убралть шпионские модули из прошивки (было распространено внеплановое OTA обновление).

            https://www.reddit.com/r/netsec/comments/ekvdtl/chinese_spyware_found_on_all_samsung_devices/
            https://www.theverge.com/2020/1/8/21056629/samsung-galaxy-china-device-care-scanner-qihoo-360-privacy
            https://www.forbes.com/sites/daveywinder/2020/01/10/does-your-samsung-galaxy-s10-come-with-undeletable-chinese-spyware-pre-installed/

            Huawei же к тому времени уже был под санкциями в США, потому вопрос наличия аналогичного модуля в прошивках Huawei зарубежную прессу не волновал, все ограничилось обсуждением на Reddit.
            Данный модуль по прежнему присутствует в актульных прошивках Huawei, и не похоже, что кто-то собирается его удалять.
            .

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое