Auf der Suche nach einer Freeware-Alternative zu gängigen Mobilforensik-Lösungen empfahl mir ein Kollege, einen Blick auf den „Mobile Revelator“ zu werfen. Das Programm des Datenanalysten Björn Kerler wird auf dessen Github-Seite für Windows und Linux zum Download angeboten und verspricht einen Funktionsumfang, der tatsächlich an die kommerziellen Software-Angebote der „Big Player“ der Branche erinnert.
Zum Zeitpunkt meiner Recherche trug das Programm die Versionsnummer 2.2.6. Für Linux wird ein Appimage angeboten, welches aber zunächst den Dienst auf meiner Manjaro Installation verweigerte. Auch auf Ubuntu 18.4 ließ sich die Datei nicht ausführen. Auf Anfrage stellte bkerler (so lautet der Github Username des Entwicklers) später eine aktualisierte Version bereit, welche sich auf beiden Systemen verwenden ließ.
Also installierte ich zuerst die ebenfalls angebotene Windows-Version auf meinem Hauptrechner mit Windows 10. Dabei gab es keinerlei Schwierigkeiten. Die Oberfläche des Tools ist recht schlicht und übersichtlich gehalten und bietet eine Plattform für verschiedene „Sub-Tools“. Deren Bedienung wird in der Anleitung, welche sich ebenfalls auf der Github-Seite befindet, erklärt.
Zunächst versuchte ich, eine Dateisystem-Sicherung eines Samsung Galaxy Grand Prime G531F (Android 5.1.1) zu erstellen.
Dies führte jedoch zuverlässig nach ein paar Minuten zum Absturz des Programms. Auch unter Linux stürzte das Tool während der Dateisystemsicherung häufig ab. Ich versuchte es noch einmal auf einer frischen Windows 7 Installation auf meinem Zweitrechner. Hier lief die Sicherung problemlos durch und auch auf dem Smartphone erschien die Meldung, dass das Backup erfolgreich abgeschlossen wurde. Die Sicherung eines Galaxy SIII Neo funktionierte auf diesem Rechner ebenfalls problemlos. Dabei wurden sogar Daten der eingelegten MicroSD Karte mitgesichert.
Anschließend erstellte ich ein physikalisches Abbild des internen Speichers meines Redmi 4X. Dazu bootete ich das Gerät in die Custom Recovery TWRP und startete im Programm die ADB Verbindung. Dabei kann die gewünschte Sicherungsmethode und der Speicherbereich gewählt werden. Ich hielt mich hierbei an die Vorgaben und sicherte über dd den kompletten Speicher (mmcblk0).
Das erstellte Speicherabbild konnte ich anschließend zur Erstellung eines Zeitleistenberichtes einlesen. Bereits bekannte Datenbanken werden dabei im linken Fenster aufgelistet. Dies beinhaltete z.B. WLAN Passwörter, Kontakte, SMS, Standortdaten, Chatverläufe, Browser-Sucheingaben usw.
Datenbanken, welche das Programm nicht automatisch verarbeitet, lassen sich über die Dateisystem-Ansicht extrahieren, im integrierten SQL-Viewer betrachten und händisch interpretieren. Auch lassen sich interpretierte Einträge in der Berichts-Ansicht auf ihren Fundort im Dateisystem zurückverfolgen.
Bei meiner Redmi-Sicherung wurden schon zahlreiche Datensätze im Bericht aufgelistet. So wurden z.B. Suchwörter angezeigt, welche ich im mobilen Firefox eingegeben habe. Die Daten meines hauptsächlich genutzten Tuga-Browsers (auf Chromium-Basis) fanden sich hingegen nicht im Bericht. Vorhandene Mediendateien werden nach Fundort sortiert angezeigt. Für noch umfangreichere Ergebnisse kann das Image mit dem „File Ripper“ gezielt nach Dateitypen durchsucht werden. Dabei werden auch Mediendateien zu Tage gefördert, welche eigentlich vom Speicher gelöscht wurden. Die gefunden Dateien werden dabei nach Dateiformat sortiert in eigenen Ordnern abgelegt.
Relevante Fundstellen lassen sich mit Lesezeichen (Tags) markieren und in einer eigenen Übersicht anzeigen. Anschließend kann ein Bericht z.B. als XSLX, PDF oder html generiert werden.
Für mobile Geräte, welche ein angebissener Apfel ziert, kann das Programm auf eine vorhandene iTunes Installation zugreifen und damit einen Einblick in Teile des Dateisystems geben. Auf einem iPad 3 mit iOS 9.3.5 funktionierte das sehr gut. Ein iPhone 7 Plus (iOS 12) meldete hingegen nur einen Lockdown-Verbindungsfehler und verweigerte den Einblick.
Die iTunes Sicherung wird auch in der Linux Version des Programms angezeigt. Hier beendet sich das Programm einfach, wenn diese Art der Sicherung gewählt wird. Verwunderlich ist das nicht, schließlich lässt sich iTunes nicht ohne Weiteres auf Linux installieren.
Für einige Geräte wird auch die Option angeboten, eine Sicherung über den Bootloader zu starten. Dies habe ich mit einem Xiaomi Redmi 3 über die Option QC Firehose getestet. Dabei wird vom Programm der EDL Modus des Gerätes erkannt und der korrekt installierte Qualcomm Treiber vermeldet. Beim Laden des benötigten Moduls wird kurz darauf leider ein Fehler ausgegeben. Ich bin mir aber sicher, dass dieses Problem in einem zukünftigen Update behoben wird.
Für Android-Geräte, welche dafür anfällig sind, wird auch die Möglichkeit geboten, eine temporäre root-Berechtigung über den Dirty Cow Hack zu erlangen.
Mit den Geräten, die mir zur Verfügung standen, hatte ich schlicht nicht die Möglichkeit, jede der zahlreichen Funktionen des Mobile Revelators auszuprobieren. Unter dem Menüpunkt „Kryptoanalyse“ erhält man unter anderem die Möglichkeit, Bruteforce Angriffe auf Passwörter und Verschlüsselungen zu starten, Anwendungsdatenbanken (z.B. Whatsapp) mit dem passenden Key zu entschlüsseln und vieles mehr. Auf Windows wird zusätzlich der Navi Revelator installiert, mit welchem sich Sicherungen der gängigen Navigationsgeräte und -Apps von TomTom, Becker, Medion, Blaupunkt und iGo auswerten lassen.
Selbst wenn noch nicht jede der zahlreichen Funktionen reibungslos funktioniert (das ist bei den kommerziellen Lösungen auch nicht immer der Fall), ist der Mobile Revelator schon jetzt eine sinnvolle Ergänzung des „forensischen Werkzeugkastens“. Es gibt bereits zahlreiche Anwendungsfälle, mit denen das Programm souverän umgeht. Als Ergänzung zur käuflich erworbenen Alternative verringert es den Einsatz der USB-Key-Dongles, die für die Funktion der Software meist notwendig sind. So könnte eine forensische Abteilung, die derartige Dongles unter mehreren Auswertern aufteilen muss, im Rahmen der mobilen Forensik deutlich produktiver arbeiten. Ich werde das Programm definitiv weiter im Auge behalten und weiterhin mit allen möglichen Mobilgeräten füttern, die mir in die Hände fallen.
(Tux-Windows-Logo im Titelbild lizenziert unter: CC BY-NC 4.0)