Es extremadamente difícil eliminar información de manera permanente en un iDevice aunque actualmente existen aplicaciones de borrado seguro que facilitan esta actividad, algunos usuarios sin embargo piensan que realizar desde iTunes un "restore" formatea el dispositivo, sin embargo incluso esta acción deja la mayoría de la información intacta, un "restore" simplemente logra que la información no sea accesible de manera directa, así que si ustedes encuentran un iDevice que ha sido restaurado desde iTunes no se preocupen hay mucha información que pueden recuperar y que es de gran ayuda en la solución de un caso, ahora ¿qué tipo de información podemos recuperar de un iDevice? enfoquémonos en los más relevantes:
·
Caches del teclado que contienen, nombres de usuario,
contraseñas, términos de búsqueda y fragmentos de comunicaciones escritas
manualmente. Casi todo lo que escribimos en un iDevice queda registrado en el
cache.
·
Cada vez que apretamos el botón de “home” o
salimos de una aplicación se genera un
screenshot que iOS después utiliza para generar efectos de zooms estáticos,
generalmente se almacenan decenas de estos screenshots que pueden darnos una
idea bastante buena de la actividad de nuestro usuario.
·
Fotos e imágenes eliminadas de la librería del
usuario y del roll de la cámara.
·
Entradas eliminadas de los contactos,
calendarios, eventos pueden ser encontradas en fragmentos del disco.
·
Historial de llamadas, en un iphone se guardan
aproximadamente los últimos 100 registros de llamadas, la base de datos en la
que se almacenan puede ser analizada utilizando casi cualquier manejador de
bases de datos SQlite.
·
Se almacenan imágenes provenientes de Google Maps
asi como también las búsquedas de direcciones que se hayan hecho directamente
en la aplicación de mapas.
·
Cache del explorador y objetos eliminados del
explorador pueden recuperarse para saber a qué sitios web ha accedido un
usuario.
·
Caches, mensajes de correo electrónico y SMS`s eliminados
·
Mensajes de voz eliminados a menudo permanecen
en el dispositivo, estos pueden ser recuperados y analizados con una
herramienta simple como Quicktime o alguna otra herramienta que soporte el
formato AMR.
·
Registros de sincronización entre una o más
computadoras o dispositivos “confiables”
·
Bases de datos SQlite con información de
aplicaciones de terceros como WhatsApp, Foursquare MSN entre otras.
·
Datos EXIF de las fotos tomadas con el
dispositivo.
Si bien esta no es toda la información que es posible recuperar, si es información
que muchas veces es pasada por alto al momento de recuperar información de
nuestros iDevices, en la cuarta y última parte de este análisis forense en
iDevices vamos a entrar de lleno a técnicas, herramientas y métodos de recuperación
y análisis, así que sigue visitando este blog y pasa la voz a los colegas
examinadores que información y herramientas nunca sobran.