Valentin Wacker
Master Thesis, Hochschule Wismar, Dezember 2023
Autor: Valentin Wacker
Titel: Begutachtung von Betriebs- und Dateisystemen aktueller, mobiler Endgeräte anhand forensischer Analysen
Abstrakt
Durch die Digitalisierung findet das Leben zunehmend online statt. Dies bedeutet zwangsläufig das auch kriminelle Handlungen im Internet und auf den Rechner, Smartphones und weiteren mobilen Endgeräten stattfindet. Dadurch steht der Forensiker oder Ermittler einer Vielzahl an möglichen Beweisquellen gegenüber, die dieser ggf. zu sichern und zu analysieren hat. Aufgrund dieser Vielfalt ist es notwendig, über die Betriebs- und Dateisysteme der möglichen Beweisquellen informiert zu sein. Daher zielt die Masterthesis darauf ab, Grundlagen und Besonderheiten von iOS-/iPadOS- und Android-Geräten zu identifizieren und mit Hilfe forensischer Sicherungen und Analysen aktueller Endgeräte zu überprüfen. Hierzu gliedert sich die Arbeit unter anderem in einen Theorie- und einen Praxis-Teil.
Das Dokument zeigt, dass Android und iOS (iPadOS) Unterschiede und Gemeinsamkeiten im Betriebs- und Dateisystem, in der Art der Speicherung von Informationen, aber auch in der Implementierung von Sicherheitsmechanismen aufweisen. Zudem können die implementierten Sicherheitsmechanismen der aktuellen iOS-Geräte nicht umgangen oder gebrochen werden, wodurch ein physikalisches Abbild nicht generiert werden kann. Bei Android-Geräten scheint ein Umgehen der Sicherheitsmechanismen zu gelingen, wenn ein Exploit identifiziert werde konnte oder das Risiko eingegangen wird, dass ein Boot-Loop durch den Prozess entstehen könnte, wodurch ein Löschen der zu duplizierenden Daten notwendig wird. Ob auch auf anderen Weg ein Umgehen der Sicherheitsmechnaismen möglich ist, müsste in zukünftigen Arbeiten thematisiert und überprüft werden.
Abstract
Due to digitalization, life is increasingly taking place online. This inevitably means that criminal activities also take place on the Internet and on computers, smartphones and other mobile devices. As a result, forensic experts or investigators are confronted with a multitude of possible sources of evidence that they may have to secure and analyze. Due to this diversity, it is necessary to be informed about the operating and file systems of the possible sources of evidence. Therefore, the master thesis aims to identify basics and specifics of iOS/iPadOS and Android devices and to verify them with the help of forensic backups and analyses of current end devices. To this end, the thesis is divided into a theory section and a practical section, among others.
The paper shows that Android and iOS (iPadOS) have differences and similarities in the operating and file systems, in the way information is stored, but also in the implementation of security mechanisms. In addition, the implemented security mechanisms of the current iOS devices cannot be bypassed or broken, which means that a physical image cannot be generated. On Android devices, circumventing the security mechanisms seems to succeed if an exploit could be identified or the risk is taken that a boot loop could be created by the process, making it necessary to delete the data to be duplicated. Whether it is also possible to circumvent the security mechanisms in other ways would have to be addressed and examined in future work.
