Firma Google zbiera i przechowuje ogromne ilości danych na temat każdego użytkownika korzystającego z ich usług. Uzyskanie do nich dostępu jest często niezbędne przy prowadzeniu wielu śledztw. Wiedza o tym co Google wie o podejrzanym ma kolosalne znaczenie dla służb i biegłych sądowych z zakresu informatyki śledczej. Niestety, standardowe podejście uniemożliwia dostęp do tych informacji. Z tego powodu rozpoczęliśmy analizę kont Google na niższym poziomie niż pozwalają na to narzędzia Google. Obecnie prawie wszyscy posiadają konto Google. Według serwisu Site Point, udział Google Chrome przekracza 50% wśród wszystkich przeglądarek. Część użytkowników korzysta z możliwości synchronizacji przeglądarki Chrome, a co za tym idzie udostępnia swoje zakładki, historię wyszukiwania, nawigacji wraz z przechowywaniem formularzy i haseł na stronach www. Google Drive oferuje bardzo konkurencyjne rozwiązanie typu cloud pozwalając na przechowywanie prawie wszystkiego od zdjęć i filmów, przez dokumenty, e-maile na kopiach zapasowych systemu operacyjnego Android kończąc.
Android, jest najbardziej popularną platformą mobilną na świecie. Podaje się, że nawet 82% urządzeń mobilnych pracuje na Android OS. Łączna liczba aktywnych urządzeń z Androidem to około 1,4 mld (choć nie wszystkie z nich są urządzeniami Google). Od Androida 5.0 Lollipop, Google oferuje opcję tworzenia kopii zapasowej danych aplikacji do usługi w chmurze. Wiedza o tym co Google wie o nas i jakie rodzaje danych przechowuje jest bardzo ważna.
Na początku użyliśmy Google Takeout czyli domyślnego narzędzia od Google do eksportu danych. Korzystając z niego staraliśmy się wyeksportować wszystko co Google przechowuje w chmurze.
Odkryliśmy, że Google Takeout nie dostarcza wszystkich ważnych danych. Informatycy śledczy i organa ścigania muszą korzystać z Google Takeout z ostrożnością ponieważ jego użycie pozostawia ślady na koncie użytkownika. Dodatkowo zostaje on powiadomiony, że jego dane zostały wyeksportowane przy użyciu Google Takeout. Ponadto plik wynikowy generowany przez Google Takeout nie jest gotowy do natychmiastowej analizy, jeśli dane zapisywane są w kilku różnych formatach. Przez to nie można go użyć do szybkiej analizy i weryfikacji danych.
Po analizie Google Takout rozpoczęliśmy badania żądań HTTPS i odpowiedzi przychodzących z urządzeń opartych na Androidzie z Google Chrome i innych aplikacji. Okazało się, że Google przechowuje przede wszystkim następujące informacje:
Automatyczne tworzenie kopii zapasowych dla aplikacji innych producentów zostało ogłoszone dopiero dla Androida 6.0 „Marshmallow”. Wersje wstępne Androida 6.0 wykorzystują opcję „opt-out”, jako sposób obsługi kopii zapasowych danych dla aplikacji innych firm, co oznacza, że dane te zostaną zapisane i przywrócone zaocznie chyba, że deweloper zrezygnował z tej funkcji w pliku manifestu w aplikacji.
Docelowa wersja Androida 6 odwróci ten problem, korzystając z metody „opt-in”. W celu automatycznego przywrócenia zapasowych kopii danych programiści muszą zezwolić na to w manifeście aplikacji. Do tej pory tylko kilka aplikacji korzysta z tego więc zapasowe kopie danych firm trzecich nie zdarzają się jeszcze zbyt często.
Więcej informacji na ten temat dostępnych jest w doskonale napisanym artykule zamieszczonym na Ars Technica: Android 6.0 ma świetny system tworzenia automatycznych kopii zapasowych, których nikt nie używa (jeszcze). Oczywiście, wszystkie zdjęcia (czyli Google Picasa, znana też jako Google+ Photos) również są przechowywane w chmurze. Takie informacje przechowuje:
Podczas badań okazało się, że do niektórych fragmentów danych (na przykład historia lokalizacji, elementy dashboardu czy rozmowy Hangout) można uzyskać dostęp bez wywoływania powiadomienia użytkownika lub bez pozostawiania śladów na koncie Google. Pozwala na to na przeprowadzenie analizy nie alarmując użytkownika.
Jeszcze w tym roku, mamy plany na udostępnienie narzędzia do pozyskiwania i analizowania danych z kont Google. Elcomsoft Cloud eXplorer umożliwi śledczym na dostęp do kont Google i zdobycie wszystkich dostępnych informacji.
Powrót do poprzedniej stony
