Realizar un examen forense de evidencia digital desde un dispositivo móvil requiere no solo una comprensión completa de los datos sino también un conocimiento básico de cómo funciona el dispositivo en sí y cómo se procesan esos datos fue generado. Esto es particularmente desafiante en dispositivos iOS debido a la naturaleza de código cerrado de la plataforma, lo que hace que sea difícil entender cómo interactúa exactamente iOS con todos estos datos y qué sucede detrás de escena en el dispositivo.
Apple invierte mucho en restringir el sistema operativo y el software de aplicaciones que pueden ejecutarse en su hardware a través de varias características de seguridad: las aplicaciones que se ejecutan en dispositivos Apple no interactúan directamente con el hardware subyacente, sino que lo hacen a través de una interfaz del sistema. El iOS se puede definir como un intermediario entre los componentes de hardware del dispositivo y las aplicaciones del dispositivo.
CONSEJO
Muchas publicaciones proporcionan información sobre el hardware iOS. Para obtener una lista completa de los componentes y dispositivos del iPhone, puede consultar la página de soporte de Apple: https://support.apple.com/specs/iphone .
Comprender el sistema de archivos de iOS
Desde iOS 10, Apple File System ( APFS ) ha reemplazado a HFS+ como sistema de archivos predeterminado. APFS es un sistema de archivos propietario que ha sido diseñado pensando en los dispositivos móviles: está optimizado para almacenamiento SSD y admite un cifrado sólido. En dispositivos IOS, el sistema de archivos está configurado en dos particiones de disco lógicas: la partición del sistema y la partición del usuario:
La partición del sistema contiene el sistema operativo iOS y todas las aplicaciones precargadas que vienencon el dispositivo pero contienen poca información probatoria. La partición del sistema solo se actualiza cuando se realiza una actualización de firmware en el dispositivo.
La partición de usuario, que está montada en el directorio /private/var , contiene todos los archivos y datos creados por el usuario y proporciona la mayor parte de la información probatoria que es pertinente para los investigadores. Esta partición es la que analiza en profundidad el Perito informático titular de Perite.pro en todas las actuaciones con móviles IPhone
¿Dónde se almacenan los datos en el sistema de archivos de iOS?
Uno de los ejemplos de cómo iOS gestiona la comunicación entre aplicaciones y hardware es el sandboxing, que permite a los usuarios interactuar con una aplicación sin acceder a el sistema de archivos directamente, asegurando que cada aplicación esté contenida dentro de uno o más contenedores específicos que se crean automáticamente cuando se instala una nueva aplicación en el dispositivo. Esta organización facilita mucho las cosas a los investigadores y peritos informáticos, ya que todos los archivos relacionados con una aplicación específica se agrupan en ubicaciones específicas.
Cada contenedor tiene una función específica:
- El contenedor del paquete contiene la aplicación en sí, incluidos todos los activos que vienen con la aplicación cuando se descarga desde la App Store.
- El contenedor de datos contiene datos tanto para la aplicación como para el usuario y se divide a su vez en varios directorios que la aplicación puede utilizar para organizar sus datos.
- El contenedor del grupo es donde las aplicaciones pueden almacenar datos que se pueden compartir con otras aplicaciones del mismo grupo.
<insert> imagen sandbox contenedores Apple </insert>
Figura 1.1 – Una representación de los contenedores de aplicaciones
El contenedor de datos contiene varias carpetas diferentes:
Documentos/ : Esta carpetacontiene archivos creados por el usuario y se incluye automáticamente en las copias de seguridad de iTunes y iCloud.
Biblioteca/ : la aplicación utiliza esta carpeta para almacenar datos relacionados con la aplicación y no la crea el usuario. Esta carpeta está incluida en las copias de seguridad de iTunes e iCloud.
Temp/ : Contiene archivos temporales relacionados con la aplicación y no se incluye en las copias de seguridad.
Como se puede ver, todos los archivos de la aplicación están perfectamente organizados en sus respectivos contenedores de datos. Sin embargo, es posible que te preguntes dónde se almacenan exactamente estos contenedores en el sistema de archivos del dispositivo. Cada aplicación en un dispositivo se identifica mediante un identificador único global ( GUID ), también conocido como identificador BundleID . Este identificador se genera de forma única cuando se instala una aplicación por primera vez y puede cambiar si la aplicación se actualiza o se reinstala.
Los contenedores de paquetes de aplicaciones se almacenan en la siguiente ruta del sistema de archivos de iOS:
/private/var/containers/Bundle/Application/
Los contenedores de Datos se almacenan en la siguiente ruta:
/private/var/mobile/Containers/Data/Application/
Los contenedores de grupo se almacenan en la siguiente ruta:
/private/var/mobile/Containers/Shared/AppGroup/
CONSEJO
Hemos visto dónde las aplicaciones almacenan datos en el sistema de archivos de iOS. Pero ¿qué pasa con los artefactos del sistema? Los datos relacionados con el sistema se almacenan en todo el sistema de archivos, por lo que no encontraremos todo en un solo lugar. En Perite profundizamos en el análisis de teléfonos IOS para encontrar todos los artefactos del sistema.
¿Cómo se almacenan los datos en el sistema de archivos de iOS?
Ya os hemos explicado cómo iOS organiza los datos de las aplicaciones en contenedores y dónde estos contenedores se almacenan en el sistema de archivos. Ahora, analicemos los tipos de archivos que comúnmente contienen evidencia útil dentro del sistema de archivos de iOS.
Además del contenido generado por el usuario (como documentos, fotografías, vídeos o archivos de texto), los datos almacenados en un dispositivo iOS normalmente constan de los siguientes elementos:
–> Bases de datos SQLite : SQLite es una base de datos independiente y autónoma que puede almacenar casi cualquier tipode datos, incluidos BLOB binarios, todo en un solo archivo. Las bases de datos SQLite son la principal fuente de almacenamiento para aplicaciones y datos del sistema, por lo que analizar estas bases de datos será uno de los puntos centrales de la mayoría de las investigaciones digitales. Las bases de datos también pueden ser extremadamente útiles si desea intentar recuperar datos eliminados, ya que los registros eliminados generalmente dejan un rastro digital en la propia base de datos o en sus archivos temporales. Los artefactos esenciales como mensajes SMS, conversaciones de WhatsApp, contactos, registros de llamadas, notas e historial del navegador se almacenan en bases de datos SQLite.
–> Archivos de lista de propiedades ( Plists ): las listas son archivos estructurados que utilizan iOS y las aplicaciones para almacenar, organizar y acceder a datos en el dispositivo. Estos se pueden almacenar en formato XML o formato binario. Normalmente, las listas se utilizan para almacenar la configuración de la aplicación o las preferencias del usuario.
Otros tipos de archivos : esto incluyearchivos de registro, archivos XML, buffers de protocolo y bases de datos Realm.
Así es como se ve una lista de propiedades en formato XML:
UUID
3bdd52c7-ee36-4689-8517-c5fed2c98s5
ID de cliente
3bdd52c7-ee36-4689-8517-c5fed2c98s5
En Perite trabajamos con móviles IPhone y profundizamos en toda su estructura de ficheros para analizar listas y consultar bases de datos SQLite de una manera forense sólida y eficaz para ubicar los artefactos principales de iOS.
