Cuando tenemos delante un Android y queremos hacer un forense con el objetivo de identificar algún tipo de anomalía, o aplicación espía, seguramente se cruzará por nuestra mente como un cometa, Logcat. Sin embargo, si nuestra labor consistirá en ubicar a nuestro cliente en un sitio concreto, quizás, debemos abrir nuestra mente a otras lineas de investigación diferentes. Encontrar indicios de por donde ha ido paseando el smartphone.

Google no solo ubica las coordenadas de tu ubicación a través del GPS. También, rastrea las WIFIS de alreadedor de tu dispositivo que ya tiene localizadas con anterioridad. De otra forma, si nosotros sabemos que la WIFI “HOTEL GRAN JARDIN” está al lado de la Giralda en la C\ Constitución de Sevilla y también aparece otra WIFI llamada “RESTAURANTE GIRALDA“, es elemental la ubicación. Evidentemente, estará cerca de la fuente en frente de la Giralda. Y, si añadimos la intensidad de los puntos de acceso pues más aún.

Croquis sencillo sobre donde estaría nuestro cliente.

¿Qué datos guarda nuestro móvil que pueda ayudarnos a saber dónde hemos estado?

El forense a un Android está muy limitado. Los registros del sistema no suelen estar accesibles, excepto si somos root. Es decir, el perito si no quiere rootear el dispotivo tendrá que valerse con unos recursos limitados. Además, que pocas aplicaciones de momento analizan de forma automatizada y de botón gordo. No obstante, si conocemos los registros que guarda el sistema y aplicaciones podremos encontrar los datos que necesitamos.

Captura de pantalla del file manager de MobilEdit Forensic Express

En “Internal (raw0)” encontraremos varias carpetas que contienen archivos del sistema, kernel, etc. En “External (raw3)” podemos analizar copias de seguridad de aplicaciones como WhatsApp, Telegram, documentos, descargas, etc. En “Applications (applications0)” veremos un listado de las aplicaciones que están instaladas en el dispositivo. Pero por último en “Extra (applications1)” encontraremos una carpeta llamada “DumpSys” donde se almacenará una gran cantidad de LOGs de gran interés para nuestro análisis.

Captura de pantalla de MobilEdit dentro de la carpeta “Extra”, donde aparece “Dumpsys” que almacena los logs.

Nuestra hipótesis de base puede ser interesante para demostrar que existe un indicio de que nuestro cliente no estaba en ese lugar. Si nuestro cliente es acusado de haber robado un coche y muestra que su dispositivo móvil escaneó redes WIFI localizadas en un lugar totalmente diferente, por ejemplo, en la carnicería… Sería un indicio de inocencia. Lógicamente, esto lo decidirá el juez, y, también, este dato puede ser poco sólido de forma aislada, de igual manera, que cualquier prueba deberá ser analizada de forma global.

También, se podría añadir actividad del usuario como por ejemplo WhatsApp, Wallapop, Telegram, etc. Es decir, si autentificamos unas conversaciones que el cliente estaba realizando a la misma hora y fecha, mientras supuestamente robaba una joyería… No sé, ¿qué pensáis vosotros?

WIFI.LOG

Captura de pantalla donde se muestra los SSID, hora y fecha de las wifis escaneadas.

El registro justamente nos mostrará los SSID escaneados con sus fechas y horas. Datos fundamentales para acreditar que nuestro cliente no estaba en ese lugar, indiciariamente.

Antes de continuar, debemos saber que estos datos son volátiles. Por ello, en el caso de que haya pasado tiempo y nos interese obtener datos de fechas anteriores, es muy posible que no podamos con este método. En ese caso, deberemos hacer root y mirar si tenemos suerte y acceder a algunos de los siguientes archivos o rutas:

/misc/wifi
/data/com.google.android.server.checkin/databases
/data/com.google.android.gsf/databases
/data/com.google.android.location/files
/data/com.android.browser/databases
/dbdata/databases/

PD: si dispongo de tiempo intentaré escribir sobre ello en otro artículo.

WIFISCANNER.LOG

Captura de pantalla de wifiscanner.log

Al final del log nos muestra las SSID, frecuencias, RSSI, Age, SSID y flags sobre la seguridad de las wifis escaneadas.

Por suerte…

En el caso -hipotético- el cliente tomo la decisión en poco tiempo. Por eso, con este artículo no solo tengo la intención de exponer los logs, sino, enseñar la importancia de hacer un forense lo antes posible. Por desgracia, no es lo frecuente.

Entonces, por último, me gustaría decir que: si te acusan de un delito y estás totalmente convencido de tu inocencia, por favor, pide un peritaje informático rápidamente, porque es posible que cada minuto que pase estés perdiendo pruebas que demuestren tu inocencia.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.