Mobile Forensics

La mobile forensics è la disciplina che si occupa delle attività d’indagine e perizia informatica su dispositivi cellulari come smartphone o telefonini, utilizzando le metodologie e le tecniche ereditate dalla computer forensics.

Nella mobile forensics abbiamo quindi le stesse fasi ormai riconosciute come ufficiali delle attività di computer forensics e digital forensics, cioè identificazione, acquisizione, conservazione, analisi e reportistica, applicate ai dispositivi mobili.

Contenuto di un dispositivo mobile

Similmente ai computer, i cellulari o meglio ancora gli smarthone possiedono diverse aree contenente dati che possono essere soggetti ad acqusizione forense. Gli smarthpone possiedono

  • una memoria RAM volatile, che può essere acquisita ed elaborata in laboratorio;
  • una memoria flash (una sorta di “hard disk”) contenente il sistema operativo e i dati;
  • una eventuale memoria esterna, in genere in formato MicroSD, che può contenere materiale multimediale (foto, video, etc…) ma talvolta anche chat (es. il backup di Whatsapp) o altre informazioni rilevanti per le indagini;
  • una o più schede SIM, contenenti ormai soltanto più la smartcard utilizzata dal cellulare per connettersi alla rete dell’operatore;
  • eventuale sincronizzazione con servizi di Cloud come Dropbox, Google Drive, iCloud o simili, sui quali possono venire caricate in automatico fotografie e video ripresi con lo smartphone.

La mobile forensics mira ad acquisire queste informazioni nel modo meno intrusivo possibile, preservando l’integrità dei dati e riducendo eventuali alterazioni se non indispensabile per la fase di acquisizione che può avvenire in diverse maniere:

Modalità di Acquisizione Manuale

L’acquisizione manuale di smartphone prevede l’utilizzo del telefono stesso, acceso e con Sistema Operativo avviato, per accedere alle varie aree contenenti i dati che verranno fotografate o eventualmente esportate utilizzando workaround o funzionalità fornite dai software stessi (es. esportazione di chat Whatsapp tramite la funzione d’invio via posta elettronica o caricamento su Cloud).

Acquisizione Logica di Smartphone

La modalità Logica di acquisizione di dispositivi mobili prevede l’esportazione dei dati così come forniti dal Sistema Operativo, cioè in maniera limitata a ciò che il cellulare (o il software e le API di collegamento) permettono di esportare. Si potranno quindi ottenere fotografie, filmati, messaggi di testo, elenco chiamate, rubrica e poco di più, senza peraltro avere accesso a dati cancellati ed eventualmente ancora recuperabili.

Estrazione del Filesystem di Telefonini

L’estrazione in modalità Filesystem della memoria dei telefonini prevede l’accesso ai dati diettamente sul dispositivo di archiviazine interno (in genere una memoria flash) tramite un’interfacciamento simile a quello che si potrebbe fare di un hard disk o una pendrive. Lo strumento di acquisizione vedrà quindi le cartelle e i file contenuti nel telefono, estraendo i singoli file e successivamente analizzandoli e parsificandoli per ottenere i dati d’interesse. Qualche dato cancellato si può così cominciare a vedere, ma limitatamente ai dati contenuti nei database (es. SQLite) dove i dati cancellati vengono sovrascritti soltanto da quelli nuovi e quindi ci sono possibilità di ritrovare quelli vecchi ancora non sovrascritti.

Accesso in modalità Fisica ai dati di un dispositivo mobile

La modalità Fisica è quella che permette un’acquisizione integrale del contenuto della memoria del dispositivo mobile, generando quindi una “copia forense” il più completa possibile perché include anche le aree non allocate del supporto digitale, cioè quelle dove può essere possibile recuperare dati vecchi cancellati ma non ancora sovrascritti dai nuovi.


Contatta lo Studio d'Informatica ForenseContattateci per Informazioni o un Preventivo
Per maggiori informazioni non esitate a contattare lo Studio d'Informatica Forense tramite la Pagina Contatti.