Digitale Forensik mit Autopsy unter Linux – Teil 5: Mobile Forensik

von

Stefan
in , ,

Smartphones sind längst die zentralen Geräte unseres digitalen Lebens. Ob Kommunikation, Social Media, Banking oder Fotos – fast alles läuft über das Handy. Für die digitale Forensik bedeutet das: Wer ein Smartphone untersucht, hat oft den Schlüssel zu einem kompletten Leben in der Hand.

In diesem Teil der Serie schauen wir uns an, wie Autopsy bei der Analyse von Smartphone-Daten hilft, welche Formate unterstützt werden, welche typischen Spuren man findet – und wo die Grenzen liegen.

Warum Mobile Forensik so wichtig ist

Früher war die klassische Festplatten-Analyse der Standard. Heute sind es Smartphones, die die meisten Spuren liefern:

  • Kommunikation: SMS, Messenger, Social Media
  • Standortdaten: GPS, WLAN-Netze, Mobilfunkzellen
  • Multimedia: Fotos, Videos, Sprachnachrichten
  • Dokumente: E-Mails, Cloud-Dateien, Office-Dokumente
  • Nutzungsspuren: App-Logs, Suchanfragen, Kalender

👉 Für Ermittler und Security-Analysten sind Smartphones oft die wertvollste Quelle.

Welche Daten Autopsy verarbeiten kann

Autopsy unterstützt mobile Forensik über verschiedene Ingest Modules und Plugins. Besonders relevant sind:

  • Android-Images (.img, .dd, .zip)
  • iTunes-Backups von iPhones (.zip, .tar)
  • App-spezifische Datenbanken (z. B. WhatsApp, Skype, Signal)
  • SQLite-Datenbanken – viele Apps speichern Daten darin
  • Multimedia-Dateien mit EXIF-Metadaten

💡 Hinweis: Autopsy ist kein spezialisiertes Mobile-Tool wie Cellebrite UFED oder Oxygen Forensics – aber es deckt die wichtigsten Grundlagen ab und ist ideal für Training und erste Analysen.

Vorbereitung: Smartphone-Daten beschaffen

In der Praxis gibt es drei typische Quellen für Smartphone-Daten:

  1. Geräteabbild
    – Mit Tools wie adb (Android Debug Bridge) oder spezialisierten Forensik-Tools wird ein vollständiges Image erstellt.
  2. Backup-Dateien
    – Android-Backups oder iTunes/iCloud-Backups können exportiert werden.
  3. SD-Karten / externe Speicher
    – Diese lassen sich wie normale Datenträger-Images untersuchen.

👉 Für Einsteiger ist ein Android-Backup am einfachsten: Mit adb backup lässt sich eine komplette Sicherung ziehen, die Autopsy anschließend analysieren kann.

Untersuchung von Android-Daten

Ein typisches Android-System speichert jede Menge lokal:

  • Kontakte & Anrufprotokolle: meist in SQLite-Datenbanken
  • SMS und MMS: inklusive Zeitstempeln und Telefonnummern
  • App-Daten: WhatsApp, Signal, Telegram → Chats, Anhänge
  • Browser-Daten: Verlauf, Cookies, Downloads
  • Standortdaten: GPS-Logs, WLAN-Historie, Geotags in Fotos

Beispiel: WhatsApp-Datenbank

WhatsApp speichert Chats in msgstore.db.
Autopsy liest diese automatisch ein und zeigt:

  • Absender & Empfänger
  • Zeitstempel
  • Nachrichteninhalte
  • Anhänge (Bilder, Videos, Audio)

👉 Damit lassen sich komplette Chatverläufe rekonstruieren.

Untersuchung von iPhone-Daten

Bei iPhones sind die Möglichkeiten etwas eingeschränkter, da das Dateisystem stärker geschützt ist. Aber über iTunes-Backups oder forensische Images bekommt man trotzdem viele Infos:

  • Kontakte & Kalender
  • SMS/iMessage
  • App-Daten (je nach App unterschiedlich)
  • Safari-Verlauf und Cookies
  • Fotos mit EXIF-Metadaten

Beispiel: Ein iTunes-Backup enthält eine SQLite-Datenbank mit allen SMS – Autopsy stellt diese in Tabellenform dar.

Multimedia-Spuren

Fotos und Videos sind für mobile Forensik besonders wertvoll.

  • EXIF-Metadaten enthalten:
    • Kamera-Modell
    • Aufnahmezeit
    • GPS-Koordinaten
  • Videodateien können Aufnahmegeräte verraten
  • Sprachnachrichten sind oft unverschlüsselt gespeichert

Beispiel:
Ein Foto IMG_20250918.jpg enthält EXIF-Daten mit GPS:
👉 Aufnahmeort Berlin, 18.09.2025, 14:32 Uhr, Gerät: Samsung Galaxy S22.

Timeline: Smartphone-Aktivitäten rekonstruieren

Wie schon bei PC-Daten kombiniert Autopsy auch mobile Artefakte in einer Timeline:

  • 12:00 Uhr: WhatsApp-Chat gestartet
  • 12:05 Uhr: Datei angebot.pdf empfangen
  • 12:07 Uhr: Foto aufgenommen (mit GPS-Koordinaten)
  • 12:10 Uhr: Safari geöffnet, URL dropbox.com besucht
  • 12:15 Uhr: PDF hochgeladen

👉 Damit lässt sich eine lückenlose Handlungskette dokumentieren.

Fallstudie: Android-Analyse

Ein Beispiel aus einer typischen Untersuchung:

  • Verdacht: Datenabfluss über WhatsApp.
  • Vorgehen: Android-Backup analysieren.
  • Ergebnisse:
    • WhatsApp-Datenbank zeigt Chat mit externem Kontakt.
    • Übertragene Datei: kundendaten.csv.
    • Gleichzeitig im Browser: Zugriff auf Google Drive.
    • EXIF-Daten eines Fotos zeigen, dass es parallel in einem Büro aufgenommen wurde.

👉 Die Kombination von Chats, Downloads und GPS-Daten ergibt ein klares Bild.

Grenzen von Autopsy in der Mobile-Forensik

So nützlich Autopsy ist – es hat auch klare Grenzen:

  • Verschlüsselung: Viele Messenger (z. B. Signal) speichern Chats verschlüsselt. Ohne Schlüssel → keine Auswertung.
  • Rooting/Jailbreaking: Manche Daten sind nur mit Root-Zugriff (Android) oder Jailbreak (iOS) zugänglich.
  • Spezialisierte Tools überlegen: Kommerzielle Tools wie Cellebrite können weit mehr extrahieren.
  • Cloud-Daten: WhatsApp-Backups in der Cloud oder iCloud-Daten sind nicht direkt zugänglich.

👉 Für Trainings, Forschung und einfache Fälle reicht Autopsy aber völlig aus.

Praktische Tipps

  1. Mit Backups üben
    – Erstelle ein iTunes- oder Android-Backup und spiele es in Autopsy ein.
  2. App-Datenbanken durchsuchen
    – Viele Apps nutzen SQLite – Autopsy kann diese direkt öffnen.
  3. Fotos & EXIF nutzen
    – Standortdaten sind oft entscheidend.
  4. Timeline kombinieren
    – Mobile Aktivitäten mit PC-Daten zusammenführen (z. B. USB + WhatsApp).
  5. Nicht entmutigen lassen
    – Verschlüsselung oder fehlende Daten sind normal – oft reichen die vorhandenen Spuren aus.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert