Mobile forensicsLa mobile forensics è la branca dell’informatica forense che si occupa del trattamento di dati digitali contenuti all’interno di dispositivi mobili da utilizzare come prova in un processo.

Per dispositivi mobili si intendono ad esempio telefoni cellulari, smartphone, tablet e più in generale ogni altro dispositivo portatile.

Come per l’informatica forense, le fasi del trattamento del dato digitale nella mobile forensics sono:

  • identificazione
  • raccolta
  • acquisizione
  • analisi
  • presentazione

Come si opera nella mobile forensics

Le operazioni tipiche di mobile forensics consistono in acquisizione forense di dispositivi mobili per poi procedere con la successiva analisi.

Allo stato attuale, l’acquisizione dei dati in ambito mobile forensics può avvenire secondo varie metodologie:

Mobile forensics chipoff

  • acquisizione fisica
  • acquisizione logica
  • acquisizione mediante backup del dispositivo
  • acquisizione del file system o di gruppi di file
  • chip-off
  • JTAG (Joint Test Action Group)
  • acquisizione manuale mediante scatto di fotografie o altre operazioni analoghe

Molto spesso, l’acquisizione di dati in ambito mobile forensics è legata all’acquisizione di dati nel cloud (c.d. cloud forensics): dai dispositivi mobile è infatti possibile recuperare informazioni per raccogliere dati fisicamente memorizzati altrove. Si pensi ad esempio al caso di acquisizione email, acquisizione di profili Facebook, acquisizione di messaggi di chat Facebook e così via.

Strumenti per la mobile forensics

A differenza della disk forensics, la mobile forensics soffre l’estrema eterogeneità di dispositivi presenti sul mercato: e si consideri che oggigiorno la situazione si è notevolmente semplificata in virtù della presenza di pochi produttori di sistemi operativi (iOS, Android, Microsoft e pochi altri).

Ciò comporta che la sola fase di acquisizione, che per supporti come hard disk e chiavette è operazione banale, richiede soluzioni estremamente diverse da un dispositivi all’altro, spesso dovendo passare per software di mobile forensics diversi.

Tra i tool principali si citano:

  • Cellebrite UFED
  • MSAB XRY
  • Oxygen Forensics
  • MOBILedit
  • SalvationData XLY

Comun denominatore di questi tool è l’elevato costo: si va dai 5.000 ai 15.000 € per l’acquisto di una licenza di ognuno di essi, con importi significativi per il rinnovo di licenza annuale necessario per godere degli aggiornamenti continui.

Ne deriva che per svolgere attività di mobile forensics sono necessari investimenti annui dell’ordine di diverse decine di migliaia di euro, con la conseguenza che il costo per tali operazioni non può mai essere inferiore al migliaio di euro per ogni dispositivo mobile acquisito ed analizzato. Quindi occorre diffidare di chi chiede importi esigui per l’acquisizione e l’analisi di uno smartphone.