Ekstrakcja danych z kont Google – badanie firmy Elcomsoft

Firma Google zbiera i przechowuje ogromne ilości danych na temat każdego użytkownika korzystającego z ich usług. Uzyskanie do nich dostępu jest często niezbędne przy prowadzeniu wielu śledztw. Wiedza o tym co Google wie o podejrzanym ma kolosalne znaczenie dla służb i biegłych sądowych z zakresu informatyki śledczej. Niestety, standardowe podejście uniemożliwia dostęp do tych informacji. Z tego powodu rozpoczęliśmy analizę kont Google na niższym poziomie niż pozwalają na to narzędzia Google.

Jakie to rodzaje danych zbiera Google?

Obecnie prawie wszyscy posiadają konto Google. Według serwisu Site Point, udział Google Chrome przekracza 50% wśród wszystkich przeglądarek. Część użytkowników korzysta z możliwości synchronizacji przeglądarki Chrome, a co za tym idzie udostępnia swoje zakładki, historię wyszukiwania, nawigacji wraz z przechowywaniem formularzy i haseł na stronach www. Google Drive oferuje bardzo konkurencyjne rozwiązanie typu cloud pozwalając na przechowywanie prawie wszystkiego od zdjęć i filmów, przez dokumenty, e-maile na kopiach zapasowych systemu operacyjnego Android kończąc.

Android, jest najbardziej popularną platformą mobilną na świecie. Podaje się, że nawet 82% urządzeń mobilnych pracuje na Android OS. Łączna liczba aktywnych urządzeń z Androidem to około 1,4 mld (choć nie wszystkie z nich są urządzeniami Google). Od Androida 5.0 Lollipop, Google oferuje opcję tworzenia kopii zapasowej danych aplikacji do usługi w chmurze. Wiedza o tym co Google wie o nas i jakie rodzaje danych przechowuje jest bardzo ważna.

Badanie

Na początku użyliśmy Google Takeout czyli domyślnego narzędzia od Google do eksportu danych. Korzystając z niego staraliśmy się wyeksportować wszystko co Google przechowuje w chmurze.

Odkryliśmy, że Google Takeout nie dostarcza wszystkich ważnych danych. Informatycy śledczy i organa ścigania muszą korzystać z Google Takeout z ostrożnością ponieważ jego użycie pozostawia ślady na koncie użytkownika. Dodatkowo zostaje on powiadomiony, że jego dane zostały wyeksportowane przy użyciu Google Takeout. Ponadto plik wynikowy generowany przez Google Takeout nie jest gotowy do natychmiastowej analizy, jeśli dane zapisywane są w kilku różnych formatach. Przez to nie można go użyć do szybkiej analizy i weryfikacji danych.

Po analizie Google Takout rozpoczęliśmy badania żądań HTTPS i odpowiedzi przychodzących z urządzeń opartych na Androidzie z Google Chrome i innych aplikacji. Okazało się, że Google przechowuje przede wszystkim następujące informacje:

  • Profil użytkownika
  • Wszystkie podłączone urządzenia
  • Urządzenia, przeglądarki i aplikacje, które ubiegają się o dostęp
  • Ustawienia Google Advertising (w tym wiek, zainteresowania itp.)
  • Kontakty
  • Kalendarze
  • Notatki (Google Keep)
  • Wiadomości e-mail (Gmail)
  • Albumy (zdjęcia, obrazki, filmy)
  • Rozmowy Hangout
  • Kompleksową historię lokalizacji

Google Chrome przechowuje następujące informacje:

  • Historię przeglądania
  • Zakładki
  • Zapisane hasła
  • Dane autouzupełniania
  • Zakładki
  • Historia wyszukiwania w wyszukiwarce Google i YouTube
  • Wyszukiwanie i historia przeglądania zawiera wiele ważnych informacji, z punktu widzenia śledczych. Każdy rekord ma następujące atrybuty:
  • Informacje o przeglądarce lub aplikacji mobilnej
  • Działania wyników wyszukiwania (otwarte lub nie)
  • Interakcje z reklamami (kliknięcia i zakupy)
  • Adres IP
  • Informacje o przeglądarce
  • Wyszukiwanie i historia przeglądania nie są eksportowane przez Google Takeout.

W kopiach zapasowych systemu operacyjnego Android Google zapisuje następujące dane:

  • Ustawienia kalendarza Google
  • Sieci Wi-Fi i hasła
  • Tapety ekranu głównego
  • Ustawienia Gmail
  • Listę aplikacji zainstalowanych przez Google Play
  • Ustawienia wyświetlania
  • Język i wprowadzanie ustawień
  • Datę i godzinę
  • Dane aplikacji innych producentów

Automatyczne tworzenie kopii zapasowych dla aplikacji innych producentów zostało ogłoszone dopiero dla Androida 6.0 „Marshmallow”. Wersje wstępne Androida 6.0 wykorzystują opcję „opt-out”, jako sposób obsługi kopii zapasowych danych dla aplikacji innych firm, co oznacza, że dane te zostaną zapisane i przywrócone zaocznie chyba, że deweloper zrezygnował z tej funkcji w pliku manifestu w aplikacji.

Elcomsoft

Docelowa wersja Androida 6 odwróci ten problem, korzystając z metody „opt-in”. W celu automatycznego przywrócenia zapasowych kopii danych programiści muszą zezwolić na to w manifeście aplikacji. Do tej pory tylko kilka aplikacji korzysta z tego więc zapasowe kopie danych firm trzecich nie zdarzają się jeszcze zbyt często.

Więcej informacji na ten temat dostępnych jest w doskonale napisanym artykule zamieszczonym na Ars Technica: Android 6.0 ma świetny system tworzenia automatycznych kopii zapasowych, których nikt nie używa (jeszcze). Oczywiście, wszystkie zdjęcia (czyli Google Picasa, znana też jako Google+ Photos) również są przechowywane w chmurze. Takie informacje przechowuje:

  • Albumy i wydarzenia
  • Komentarze
  • Tagi Geo
  • Subskrypcje

Ludzie oznaczeni na zdjęciach

Podczas badań okazało się, że do niektórych fragmentów danych (na przykład historia lokalizacji, elementy dashboardu czy rozmowy Hangout) można uzyskać dostęp bez wywoływania powiadomienia użytkownika lub bez pozostawiania śladów na koncie Google. Pozwala na to na przeprowadzenie analizy nie alarmując użytkownika.

Jeszcze w tym roku, mamy plany na udostępnienie narzędzia do pozyskiwania i analizowania danych z kont Google. Elcomsoft Cloud eXplorer umożliwi śledczym na dostęp do kont Google i zdobycie wszystkich dostępnych informacji.