Inicio / Noticias / Forense Digital se prepara para el futuro con Android Auto y Apple CarPlay
Forense Digital se prepara para el futuro con Android Auto y Apple CarPlay
abril 14, 2021

Forense Digital se prepara para el futuro con Android Auto y Apple CarPlay

¿Te gustó este artículo?, Compártelo

Los sistemas en el automóvil son como cajas de botín llenas de artefactos inexplorados

Los fabricantes de automóviles no pueden evitar comercializar el sistema de información y entretenimiento en el vehículo como una de las características de sus autos inteligentes. Recientemente, el rumor en torno a Android Auto y Apple CarPlay que crean distracciones y sirven como posibles sujetos de ciberataques es alarmante.

Android Auto y Apple CarPlay junto con la función de comando de voz (manos libres) ayudan a los conductores al eliminar la carga de navegar a través de largas listas de llamadas para hacer una llamada y escribir la ubicación para calcular la navegación, lo que les permite concentrarse en la carretera.

Según la Fundación AAA para la Seguridad del Tráfico, los conductores que apartan la vista de la carretera durante más de dos segundos, duplican el riesgo de sufrir un accidente. Además, la conducción distraída es responsable de 3,5 mil muertes y 390 mil lesiones (Forbes 2018).

Su investigación sobre vehículos (modelos 2017 y 2018) también demostró que, en una escala de calificación para la demanda, tanto Android Auto como CarPlay generaron una demanda general moderada en comparación con los sistemas integrados nativos del fabricante de automóviles que crean un alto nivel de demanda que es igual a balancear una chequera mientras conduce.

En el lado de la ciberseguridad, es interesante encontrar qué artefactos se crean y se dejan atrás que pueden servir como evidencia potencial en las investigaciones.

Las noticias sobre piratas informáticos que robaron Tesla al clonar su Key Fob circularon por Internet el año pasado (Wired 2019). Como resultado, Tesla ahora ofrece un Model 3 junto con un millón de dólares a cualquiera que pueda evadir las múltiples capas de seguridad del Model 3 y lograr un compromiso total del vehículo. Se afirma que Tesla Model 3 es uno de los vehículos más seguros del mercado en este momento (Forbes 2020).

Por un lado, los fabricantes luchan por satisfacer la creciente demanda de vehículos seguros. Por otro lado, los examinadores forenses digitales están trabajando las veinticuatro horas del día para atrapar a los delincuentes involucrados en robos de automóviles y uso indebido de vehículos robados en delitos.

En el SANS DFIR Summit 2019, Sarah Edwards (Especialista forense, Parsons; Instructora SANS) y Heather Mahalik (Directora sénior de Inteligencia digital, Cellbrite, Instructora SANS) hablaron sobre la ciencia forense de iOS CarPlay y Android Auto y el comportamiento estándar de los dispositivos conectados.

Sarah examinó la ciencia forense de iOS CarPlay y Heather examinó la ciencia forense de Android Auto para realizar pruebas. También analizaron la posible correlación entre la interacción y la conducción distraída.

INTERFAZ DE USUARIO

La interfaz de usuario de Apple Carplay y Android Auto no es compatible con todas las aplicaciones del teléfono. Solo hay ciertas aplicaciones móviles que pueden usarse en estos sistemas. Los más comunes incluyen Teléfono, Mensajes, Mapas, WhatsApp y Spotify.

Apple Carplay

Apple CarPlay muestra iconos en la pantalla de inicio. Cada icono representa una aplicación móvil. Las aplicaciones están organizadas en filas y columnas. Los íconos son lo suficientemente grandes y requieren una habilidad motora mínima para presionar uno, lo que permite a los conductores mantenerse concentrados en la carretera.

Según el autor de thebinaryhick Blog, CarPlay deja atrás artefactos interesantes que podrían resultar útiles en investigaciones forenses. Por ejemplo, los examinadores forenses pueden utilizar estos artefactos junto con los datos obtenidos de otras fuentes para obtener una imagen completa del dispositivo.

Los hallazgos de Sarah fueron similares a los hallazgos demostrados en el blog binaryhick.

Según los hallazgos, se pueden obtener los siguientes artefactos:

  1. Marcas de tiempo: cuando el dispositivo se conectó por primera vez (CarPlay se inicializó) y se desconectó por última vez.
  2. Automóviles conectados al dispositivo: en los casos en que el iPhone está conectado a más de un automóvil, los datos revelan los nombres de todos los automóviles a los que se ha conectado.
  3. Diseño del icono de la aplicación: qué aplicaciones se han colocado en qué lugar de la pantalla. Esto se puede analizar utilizando los números asignados a las aplicaciones que se encuentran durante el análisis. Los diferentes coches pueden tener diferentes ubicaciones de iconos en sus pantallas.

Desde KnowledgeC.db (DB Browser para SQLite), los investigadores también encontraron

  • Eventos de plug-in,
  • Estado de conexión / desconexión de CarPlay
  • Ubicaciones en caché que muestra las coordenadas GPS de dónde estaba estacionado el automóvil antes de que se desconectara el dispositivo.

Sarah usó la herramienta Apollo que toma diferentes bases de datos en iOS y ejecuta una consulta a través de ellas para mostrar los resultados en una base de datos diferente. Esta herramienta se utilizó para hacer la correlación entre múltiples bases de datos.

El proceso de obtención de artefactos requiere una versión con Jailbreak y una copia de seguridad de iTunes.

Android Auto

Al igual que CarPlay, Android Auto también muestra una pantalla de inicio con iconos que representan aplicaciones móviles.

En las pruebas de Heather, obtuvo acceso a los datos a través de una copia de seguridad de Android de extracción del sistema de archivos. El proceso es relativamente difícil ya que depende de la fabricación de Android y su sistema operativo.

Según sus hallazgos, se puede obtener lo siguiente:

  1. Temperatura: Android Auto registra la temperatura donde conecta el dispositivo. Buen espacio para rastrear la ubicación del punto de partida del automóvil.
  2. Zona horaria y fecha: XML de preferencias
  3. Conexiones Bluetooth / USB: dirección Bluetooth con fecha y hora y ubicación. Además, Power Manager realiza un seguimiento de los eventos de complementos.
  4. Uso de datos: rastrea desde la primera vez que se conectó el dispositivo (Android Auto inicializado) hasta la última vez que estuvo monitoreando. Da dos sellos de fecha.
  5. Automóviles conectados al dispositivo: puede encontrar esto en el índice de búsqueda.

Heather también realizó una prueba para encontrar qué artefactos estaban sincronizados. Marcó sí para sincronizar todos los permisos, contactos y SMS en el menú de configuración de su dispositivo de prueba. Esto fue solo para fines de prueba, ya que es riesgoso sincronizar datos personales, especialmente en autos de alquiler.

En peoplelog.db, descubrió que cada vez que el dispositivo se conectaba a un automóvil nuevo, tenía que realizar una sincronización nueva, ya que Android Auto no sincronizaba los contactos de la lista de contactos. Sin embargo, Google sincroniza los contactos cuando usa el Asistente de Google para hacer llamadas.

APLICACIÓN DE MENSAJES

CarPlay

La configuración de manos libres para Apple CarPlay nos permite ordenarle a Siri que lea los mensajes de la aplicación de mensajería y también los mensajes de WhatsApp.

Además, podemos dar dictados para enviar un mensaje a alguien de nuestra lista de contactos o para responder a un mensaje.

De KnowledgeC.db, InteractionsC.db y sms.db, Sarah pudo encontrar datos sobre lo siguiente:

-¿Qué audio se estaba utilizando?

Entradas / Salidas, por ejemplo, altavoces / auriculares

-¿Cuánto tiempo se usó Siri?

Marcas de tiempo

-BundleIDs de aplicaciones móviles

Por ejemplo, se realizó un seguimiento de Apple Music BundleID. Si está escuchando música mientras dicta su mensaje a Siri, aparece el ID de paquete de la aplicación de música.

-¿Qué mensajes se enviaron o recibieron?

El análisis le permite ver mensajes.

Sin embargo, no había ninguna bandera que indicara si se dictó un mensaje. Por lo tanto, en caso de que alguien más tome el dispositivo para redactar el mensaje a Siri, no es posible saber si se utilizó la función de manos libres.

Android Auto

En Android Auto, la función Manos libres nos permite hablar con el Asistente de Google para leer mensajes de la aplicación de mensajería y mensajes de WhatsApp.

Además, podemos dar dictados para enviar un mensaje a alguien de nuestra lista de contactos o para responder a un mensaje como en CarPlay.

Del mismo modo, el MMSSMS.DB para Android Auto no indicó una marca en las pruebas de Heather. En ambos eventos en los que el dispositivo estaba enchufado y cuando estaba conectado a través de Bluetooth, no indicaba si el conductor estaba usando la función de manos libres.

Por otro lado, las herramientas no cronometran los artefactos. Heather sugirió encontrar un punto de partida y luego buscar evidencia, ya que el análisis no ocurre y todo debe hacerse manualmente.

Correlación para evaluar la conducción distraída

CarPlay

Los archivos encriptados de KnowledgeC.db y Cache pueden ser útiles para determinar si una persona está realmente en el automóvil y si el vehículo se está moviendo. Las coordenadas geográficas pueden servir como buenas huellas.

En caso de que use una aplicación que no es compatible con CarPlay, como Signal, hay datos sobre la velocidad rastreada en m / s mientras la aplicación estaba en uso, que se pueden usar para encontrar si se ha producido una distracción (Sarah Edwards, SANS) .

Además, en los casos en que el conductor se detenga para revisar el teléfono o en las intersecciones.

Los datos de las aplicaciones de terceros también deben analizarse para conectar los puntos faltantes.

Android Auto

Google rastrea todo incluso mientras está girando. Por ejemplo, le pides al Asistente de Google que te busque algo mientras conduces y muestra puntos girando. Registra todo lo que habla en esa ventana incluso cuando no responde. Todos esos datos están en archivos de sesión.

Google también guarda copias de los mensajes si los redacta para WhatsApp. Los archivos de audio junto con las marcas de tiempo se pueden examinar para comprender si se ha producido una distracción. Especialmente, en el caso de un dispositivo WhatsApp cifrado.

Conclusión

Apple Carplay y Android Auto fueron diseñados para ayudar a los conductores a mantenerse concentrados en la carretera ocupándose de tareas como hacer llamadas telefónicas, leer o enviar mensajes y navegar sin problemas con una demanda de motor limitada. Los artefactos así generados tienen un enorme potencial para resolver casos penales relacionados con vehículos. La evidencia puede vincular información y / o servir como eslabones perdidos en investigaciones forenses digitales en curso. Como resultado, dio lugar a un nuevo campo en el análisis forense digital llamado Vehicle Forensics.

Sin embargo, se requiere mucha investigación para ayudar a los investigadores y examinadores forenses a establecer técnicas estándar.

Los investigadores también esperan recibir contribuciones, ya que hay abundante información y es difícil acceder a ella. Además, las diferentes investigaciones requieren datos diferentes. Por lo tanto, las herramientas forenses actuales necesitan actualizaciones para respaldar futuras investigaciones.

Por Haniah Shafi para medium.com

Otras noticias

Oxygen Analytic Center: Revolucionando el Análisis Forense con Tecnología de Punta

Digitoforense Representa a Atola en Chile: Soluciones Avanzadas para la Investigación Forense Digital

Primer curso de Greykey G200 en español en Chile

Ver más noticias
Access Data Atola Big Data Cellebrite Certificación Cloud Computing Cyberseguridad Desbloqueo Drones DVR Dígitoforense Elcomsoft Encase Exterro Forense Digital Foro de Usuarios FTK Geolocalización Greyshift IA Imágenes Internacional IoT Magnet Mobiledit MSAB Móviles Opentext OSForensics Oxygen Oxygen Forensics Passware Salud Seguridad Seminario Software UUF XRY