Quanto è possibile investigare su smartphone?

Le ultime versioni dei sistemi operativi iOs e Android rendono ancora più difficile l’accesso ai dispositivi mobili anche alle agenzie investigative autorizzate e alle autorità di polizia.

L’attenzione per la privacy dei propri utenti – ovviamente più che giusta – sta portando i produttori di dispositivi mobili a curare minuziosamente gli aspetti relativi all’accesso ai dati e alla loro protezione, anche mediante sistemi di autenticazione forte o crittografia.
Il che però ha l’effetto indiretto di ostacolare anche le indagini su questi dispositivi.

L’accesso fisico al dispositivo rimane spesso l’ultima spiaggia per poter estrapolare dati d’interesse investigativo. Se, però, il produttore rende difficile o impossibile da parte delle Autorità accedere ai dati, le cose si complicano non poco sia per Android sia per iOS, i due maggiori player sul mercato.

Dalla versione 6 il sistema operativo Android cripta i dati dell’utente tramite la sua password e una seconda scritta internamente nel dispositivo. Senza queste due credenziali, è impossibile accedere alla memoria del cellulare e, anche riuscendo a leggere in qualche modo i dati, non sarà comunque possibile estrarre delle informazioni intellegibili. Il PIN o la password tendono quindi a diventare non più un blocco “formale”, superabile tramite artifizi tecnici, ma la porta d’accesso al contenuto dei dispositivi.

Chi aggiornerà il proprio dispositivo alla versione più recente di Android potrà scegliere se cifrare i propri dati o meno, ma chi acquisterà uno smartphone non avrà scelta: i dati verranno criptati. Questo rappresenta certamente un aumento di sicurezza e privacy non indifferente, ma allo stesso tempo un notevole ostacolo alle attività d’indagine da parte dell’Autorità Giudiziaria, un bilanciamento non sempre facile da gestire.

Dal punto di vista investigativo questo è certamente deleterio, poiché spesso gli indagati (o le vittime) non possono o non vogliono fornire le chiavi d’accesso al sistema, rendendolo quindi sicuro e blindato. Dopo la strage di San Bernardino – ma anche casi più vicino a noi come l’indagine sul suicidio delle giovani Carolina Picchio e Tiziana Cantone o ancora il caso Boettcher – è chiara la necessità di poter disporre delle informazioni contenute nei cellulari, in particolare durante le attività investigative su fenomeni di terrorismo.

Per chi pensa al lettore d’impronte digitali di alcuni dispositivi Android, ad esempio i Samsung o HTC di nuova generazione, come “deterrente” per le indagini, la realtà è che in alcuni casi le agevolano, dato che a differenza di password e PIN sono elementi “fisici” che si possono carpire o in qualche modo obbligare a fornire. Ovviamente, passate alcune ore dall’ultimo sblocco con impronte, sarà comunque necessario inserire la password o il PIN, rendendo quindi l’accesso difficile quanto uno tradizionale.

Passando al lato Apple le notizie non sono migliori. Il nuovo sistema Operativo che la casa di Cupertino ha sviluppato per i suoi smartphone e tablet, conterrà nuove misure di sicurezza che avranno un rilevante impatto sulle indagini rendendole ulteriormente più difficili.

Ovviamente lo scopo di queste nuove modifiche da parte di Apple è quello di proteggere al meglio la privacy dei propri clienti e aumentare il livello di sicurezza dei suoi dispositivi.

In primo luogo viene messo in sicurezza il legame tra il dispositivo e il computer utilizzato per sincronizzare i dati o scaricare software, musica o video. Fino alla versione 7 di iOS la sincronizzazione tra un iPhone e un PC/Mac non richiedeva conferme da parte dell’utente. Dalla versione 8 alla 10, per collegare un dispositivo mobile Apple a un computer è diventato necessario confermare il “trust” sulla finestra che compare dopo lo sblocco dello schermo, che può avvenire anche tramite impronta digitale. Dalla versione 11 viene richiesto il codice PIN o la password anche soltanto per attivare la sincronizzazione. Questo significa che l’acquisizione forense di un iPhone richiede la conoscenza del PIN, non basta l’impronta digitale.

Può sembrare insignificante questo aggiornamento, ma in alcune giurisdizioni, ottenere lo sblocco tramite impronta digitale dell’indagato è legale (oltre a essere materialmente fattibile senza bisogno di consenso) mentre ottenere il PIN, se questi non è intenzionato a collaborare, può non essere facile.

Se il dispositivo è bloccato e non è possibile inserire il PIN (perché il proprietario non vuole o non può fornirlo) rimane ancora, per fortuna, valida la possibilità di accedere al contenuto se si riesce a entrare in possesso del PC dove in passato lo smartphone è stato collegato per la sincronizzazione. Il file chiamato di “lockdown” è, infatti, ancora una chiave valida per poter accedere a parte del contenuto di un device Apple, senza in realtà sbloccarlo. Rimane nella versione 11 di iOS il limite temporale che rende inutilizzabili eventuali file di lockdown trovati su PC se il tablet o lo smartphone sono rimasti bloccati per più di 48 ore (oppure 8 ore se negli ultimi sei giorni non è mai stata inserita la password di sblocco perché il proprietario ha sempre utilizzato l’impronta digitale).

Altra limitazione posta alle potenzialità investigative su iOS è la rimozione delle notifiche ancora da leggere ai backup, locali su PC o in remoto su iCloud. Fino a iOS 10 nei backup venivano inserite anche le notifiche di app di social networking, banking, taxi o simili che non erano state ancora lette o rimosse, all’oscuro dell’utilizzatore che era in realtà in grado di vedere solamente gli ultimi 7 giorni. Dalla versione 11 di iOS, questa fonte d’informazioni scompare, le notifiche non lette non verranno più inserite nei backup.

Ultima implicazione per la digital forensics è la conseguenza della decisione di Apple di spingere gli utenti di iOS ad abilitare l’autenticazione a due fattori, mostrando una notifica nelle impostazioni che funge da “reminder”. L’autenticazione a due fattori fa sì che gli utenti debbano inserire il codice ricevuto via SMS quando accedono all’Apple ID o all’area file iCloud. Questo rende difficile l’acquisizione da parte degli investigatori del backup degli indagati o dei file caricati su iCloud senza che questi se ne accorgano, poiché la ricezione dell’SMS di conferma codice non è facile da nascondere.

Rimane comunque la possibilità di accedere ai dati online degli utenti Apple se si riesce a entrare in possesso di un PC, Mac o dello smartphone/tablet che ha accesso ad iCloud, acquisendo il cosiddetto “token” di autenticazione che permette di bypassare il nome utente e la password. Un po’ come con i cookies che memorizziamo nel browser e che ci permettono, ad esempio, di accedere a Facebook senza dover inserire tutte le volte la password, anche Apple ha un suo sistema che permette al PC di memorizzare una sorta di “cookie” che può essere estrapolato e utilizzato per accedere ad iCloud da parte degli investigatori.

Rimane ancora il dubbio sulla possibilità di sblocco del sistema senza conoscerne il PIN o la password, cosa indispensabile in caso di necessità di accedere ai contenuti di smartphone di persone decedute o che non vogliono fornire le proprie credenziali. Fino ad iOS 10 è noto che la società Cellebrite fornisce il servizio chiamato “CAIS” che – presso la loro sede di Israele o a Monaco di Baviera – permette di trovare il PIN o la password della maggior parte dei dispositivi mobili Apple.

Rivolgersi a dei professionisti permette di bypassare questi ostacoli all’apparenza insormontabili, trovando il modo più efficace per procedere con le indagini.

Fonte

Condividi

Dì la tua