La mobile forensics è quella disciplina che regola le fasi d’acquisizione, preservazione, analisi e reporting delle evidenze digitali estraibili da un dispositivo mobile, come telefoni, navigatori, tablet.
In quest’articolo ci soffermeremo direttamente sulla parte tecnica delle fasi d’acquisizione del dispositivo e non su tutta la procedura da effettuare sulle scene del crimine, come preservare le impronte, fotografare, ecc.
Possiamo subito evidenziare alcune peculiarità della mobile forensics che differiscono dalla computer forensics:
- I dispositivi richiedono interfacce dedicate, supporti di memorizzazione e hardware ad hoc.
- In alcuni casi i dati dell’utente sono residenti in memoria volatile rispetto al “fisso” hard disk, quindi possono esser persi se il dispositivo non è alimentato.
- Nel processo d’ibernazione in cui i processi sono sospesi quando il dispositivo è spento o idle ma allo stesso tempo è attivo.
- La varietà diversificata di sistemi operativi embedded in uso.
- La velocità di produzione di nuovi dispositivi e dei rispettivi sistemi operativi.
- Il sempre più presente cloud che sta permettendo di nascondere i dati mobili nel web, anche se quest’ultimo punto vale pure per i computer.
Una distinzione importante tra computer forensics convenzionale e mobile forensics è la riproducibilità delle prove nel caso di analisi post mortem (dispositivo spento).
Questo perché i telefoni, a differenza computer tradizionali, rimangono attivi costantemente e il loro contenuto viene continuamente aggiornato, così l'hash code prodotto da tali dispositivi genera un valore diverso ogni volta che la funzione è eseguita sulla memoria del dispositivo.
Questo rende impossibile ottenere una copia bit a bit della memoria di uno smartphone, con lo stesso codice hash, anche se alcuni telefoni possono esser “dumpati” da spenti e con procedure particolari, quindi si può riottenere lo stesso hash.