Risiko Hidden Apps dalam Mobile Phone Forensics

Hidden apps saat ini sangat populer terutama di kalangan para remaja.  Tujuan dari hidden apps ini-sesuai namanya-adalah menyembunyikan video, photo, aplikasi ‘terlarang’ dan juga SMS dari akses orang lain (baca: orang tua) selain pengguna handset.  Selain itu, hidden apps juga berpotensi digunakan untuk kepentingan para pelanggar hukum.  Misalnya untuk menyembunyikan bukti transaksi jual-beli obat-obatan terlarang (drugs), kejahatan seksual, data exfiltration dan pencurian data.  Tentunya dalam skala lebih tinggi, aplikasi tersebut dapat digunakan oleh teroris untuk menyembunyikan data terkait operasi atau kegiatan yang mereka lakukan.

Oleh karena itu, setiap mobile phone forensics examiner harus mengetahui dan memahami adanya hidden apps ini dan risiko terkait aplikasi ini jika terdapat pada handset yang sedang menjadi objek investigasi.  Walaupun membutuhkan waktu dan terbilang kompleks, proses analisis atas seluruh aplikasi yang di-instal dalam handset merupakan upaya paling efektif untuk mengetahui keberadaan hidden apps ini.  Examiner bisa melakukan proses pencarian melalui Google untuk mengetahui apakah satu apps merupakan hidden apps atau bukan.  Selanjutnya examiner juga harus mengetahui bagaimana dan jenis data yang disembunyikan oleh hidden apps tersebut.

Tipe Hidden Apps

Ada beberapa tipe teknik yang dapat digunakan oleh pengguna untuk menyembunyikan data atau aplikasi dalam handset:

a.  Pengguna dapat memanipulasi handset mereka yaitu dengan cara menempatkan data/aplikasi pada lokasi yang bukan seharusnya (sewajarnya);

b. Menggunakan aplikasi yang dapat menyembunyikan aplikasi lainnya agar tidak tampak;

c. Menggunakan aplikasi khusus yang tampak seperti aplikasi yang wajar dan umum terdapat dalam handset seperti kalkulator, walaupun sesungguhnya aplikasi tersebut digunakan untuk menyembunyikan data atau aplikasi lainnya.  Aplikasi khusus ini sering disebut dengan ‘decoy apps’, karena sekilas tampak seperti aplikasi biasa akan tetapi sesungguhnya berfungsi untuk menyembunyikan data.

Decoy apps yang populer saat ini tampak seperti kalkulator seperti Smart Hide Calculator, Calculator Vault-Gallery Lock, Calculator Photo & Video Vault, Hide Pictures Keep Safe Vault.  Decoy apps ini tetap dapat digunakan sebagai kalkulator walaupun memiliki fungsi untuk menyembunyikan data.  Aplikasi Audio Manager juga dapat digunakan untuk menyembunyikan data.  Aplikasi tersebut tampak seperti aplikasi guna mengatur volume.

Selain itu tersedia aplikasi untuk menciptakan folder khusus untuk menyimpan data seperti The Best Secret Folder, Secret Box-Hide Files.  Folder ini kemudian tidak akan tampak di layar (screen) hingga pengguna memasukkan PIN pada area tertentu di layar.

Teknik lainnya yang lebih sederhana adalah menciptakan folder yang nanti akan menyimpan data yang akan disembunyikan dan menggunakan aplikasi yang dapat mengubah ikon dari folder tersebut agar tampak seperti aplikasi yang wajar.

Pelajaran Berharga

Pelajaran berharga dari adanya hidden apps bagi Mobile Phone Forensics adalah examiner TIDAK BISA menyimpulkan bahwa suatu data tidak ada karena tidak tampak.  Melainkan examiner harus selalu mewaspadai adanya kemungkinan berupa anti-forensics yaitu penggunaan hidden apps yang dapat menyembunyikan data tertentu.

Pengujian Data

Examiner tetap dapat menggunakan mobile phone forensics tools yang tersedia seperti Cellebrite, XRY atau Oxygen.  Namun perlu diketahui, tools tersebut mungkin tidak akan seefektif ketika memparsing data dari aplikasi yang umumnya ditemukan seperti Facebook, Twitter, Skype dan lain sebagainya.  Terdapat risiko tools tidak akan secara otomatis menemukan dan menarik data dari hidden apps.  Selain itu, hidden apps juga dapat menyimpan data pada lokasi yang tidak umum atau bahkan mengenkripsi atau mengencoding data sehingga tidak dapat dibaca.

Kondisi ini dapat mempengaruhi kemampuan forensics tools dalam memparsing data dari hidden apps walaupun tools tersebut dapat mengakses data tersebut.  Oleh karena itu, examiner harus melakukan pengujian lebih dalam lagi.  Misalnya menganalisis file system dan database untuk kemudian memparsing data secara manual.  Tujuan akhir dari proses tersebut adalah adanya data yang disembunyikan tersebut dapat diperoleh dalam format yang dapat dibaca (readable format).  Dalam beberapa kasus, satu hidden apps mengklaim bahwa mereka menggunakan teknik enkripsi, walau dalam kenyataannya mereka hanya menggunakan teknik encoding secara berlapis.

Kabar Baik

Perolehan data dari hidden apps bukanlah satu hal yang mustahil, walaupun examiner membutuhkan ekstra waktu, tenaga dan tools untuk mencapai tujuan tersebut.  Kabar baik dari adanya hidden apps adalah besar kemungkinan bukti digital yang relevan dengan kasus tersimpan dalam hidden apps tersebut.

Sekali lagi, risiko dari hidden apps ini semakin mengukuhkan perlunya validasi dari beberapa forensics tools yang berbeda serta investigasi manual yang didukung oleh kompetensi examiner yang mencukupi. Artinya examiner tidak hanya mengandalkan hasil investigasi dari penggunaan satu tools saja. Hal ini tentunya membutuhkan pelatihan yang tidak terbatas pada vendor forensic tools saja melainkan juga perlunya mendapatkan pelatihan dari vendor yang tidak terafiliasi dengan vendor forensics tools.  Hal ini diperlukan agar examiner terbuka dengan setiap kemungkinan dan keterbatasan serta mengetahui berbagai forensics tools yang tersedia.

REFERENSI:

http://digital.forensicmag.com/forensics/june_2016?pg=8#pg8

http://lifehacker.com/hide-apps-in-ios-9-with-a-folder-trick-1751131506

Panduan dan Prosedur Dalam Mobile Phone Forensics

  • 2013 ; SWGDE Best Practices for Mobile Phone Forensics ; Scientific Working Group on Digital Evidence (SWGDE)
  • 2014 ; Guidelines on Mobile Device Forensics ; NIST Special Publication 800-101 Revision 1
  • 2012 ; Cellular Phone Evidence-Data Extraction and Documentation: Developing Process for the Examination of Cellular Phone Evidence ; Cindy Murphy
  • 2012 ; Smartphone Forensic Investigation Process Model ; Archit Goel Anurag Tyagi Ankit Agarwal
  • 2012 ; ACPO Good Practice Guide for Digital Evidence (ver 5.0) ; Association of Chief Police Officers (ACPO)
  • 2011 ; An analysis of digital forensic examinations: Mobile devices versus hard disk drives utilising ACPO & NIST guidelines ; Owen, Paul Thomas, Paula
  • 2011 ; Guidelines for the digital forensic processing of smartphones ; Alghafli, Khawla Abdulla Jones, Andrew Martin, Thomas Anthony
  • 2005 ; Cell Phone Forensic Tools: An Overview and Analysis ; Rick Ayers Wayne Jansen Nicolas Cilleros Ronan Daniellou
  • 2002 ; Guidelines for Evidence Collection and Archiving ; The Internet Society Network Working Group

Mobile Phone Forensics Tools

Tool Komersial

  1. IEF Mobile; Mendukung untuk pengumpulan data terkait penggunaan Internet dan perolehan data aplikasi dari pihak ketiga. Aplikasi ini juga dikenal sangat baik untuk memperoleh data dari iOS app.
  2. Cellebrite – UFED Physical Analyzer; Saat ini merupakan tools yang terbaik untuk melakukan analisis atas smartphone. Walaupun tidak dapat memperoleh data seutuhnya, tetapi tools tersebut mampu mendukung examiner untuk melakukan manual carving dan hex searches.  Tools ini juga dikenal sangat baik untuk melakukan proses searching pada data dalam bentuk raw hex.
  3. MSAB XRY/XACT; Dikenal kemampuannya dalam memberikan akses atas file raw selama proses ekstraksi secara secara lojik. Akses atas data raw sangat menunjang perolehan data yang telah dihapus.
  4. Lantern; Sangat baik untuk perolehan data terkait Facebook app. Juga sangat baik dalam perolehan data pada handset iOS tertentu.
  5. Blacklight; Berjalan hanya Mac, sehingga sangat sesuai untuk pemrosesan atas handset iOS;
  6. Mobilyze; Tool yang sangat baik untuk triaging handset iOS dan Android.
  7. MPE+; SQLite builder yang terdapat dalam tool ini sangat baik untuk melakukan analisis database dari aplikasi pihak ketiga secara manual.
  8. Oxygen; Merupakan tool yang sangat baik untuk penanganan Blackberry. Alat tersebut dapat memperoleh Event Log serta menghasilkan file BB backup secara aman.

Open Source and Other Solutions

  1. Andriller; Tool ini dapat digunakan untuk men-crack passcodes yang digunakan dalam handset dan dapat memperoleh data (parser) data aplikasi pihak ketiga dalam handset iOS, Android dan Windows Mobile Phone. This is one of my new favorites. Aparat penegak hukum dapat memperoleh alat ini secara gratis. Sedangkan untuk pihak lainnya harus membayar fee.
  2. Now Secure CE (dahulu dikenal sebagai ViaExtract CE); Now Secure memberikan secara gratis aplikasi ini. Terdapat fitur untuk proses ekstraksi dan parsing (https://www.nowsecure.com/forensics/community/).
  3. Sanderson Forensics tools; Sangat baik untuk proses SQLite yaitu melakukan proses pemulihan data yang telah terhapus di dalam database dan data konversi untuk timestamps (http://www.sandersonforensics.com/forum/content.php).
  4. Beberapa peneliti seperti Mari DeGrazia (http://az4n6.blogspot.com/) dan Adrian Leong (http://cheeky4n6monkey.blogspot.com/) mengembangkan scripts untuk komunitas digital dan mobile phone forensics.
  5. Autopsy v3; Modul Android Analyzer mendukung perolehan data yang dihapus dalam handset Tool ini juga memberikan akses atas File System directory tree lebih cepat dibandingkan dengan tool komersial yang ada (http://sleuthkit.org/autopsy/).

Prinsip Dasar dalam Mobile Phone Forensics

Berikut ini adalah prinsip-prinsip dasar yang dapat diterapkan dalam pengembangan kebijakan dan prosedur bagi pelaksanaan kerja Mobile Phone Forensics di setiap organisasi:

  1. Dokumentasi yang memadai. Seluruh proses pekerjaan dimulai dari ekstraksi, analisis, penyimpanan dan penyajian data digital harus didokumentasikan dalam formulir yang tersedia.  Selain itu photo-photo dan rekaman video baik di lokasi kejadian maupun terkait telepon seluler dan peralatan terkait lainnya juga harus dilakukan dan disimpan;
  2. Adanya persiapan dan dukungan baik peralatan dan informasi yang mencukupi. Perencanaan dan persiapan sebelum terjun ke lapangan merupakan faktor penentu keberhasilan dalam perolehan alat bukti.  Examiner harus memeriksa seluruh kelengkapan peralatan yang dibutuhkan dan menguji apakah alat yang akan digunakan dapat berfungsi sepenuhnya sebelum turun ke lapangan;
  3. Dukungan dan kerjasama dengan ahli forensik lainnya (DNA, sidik jari, photographi dsb). Terdapat kemungkinan adanya bukti lain pada telepon seluler seperti sidik jari, darah, DNA, residu mesiu dan lain-lain yang relevan dengan proses investigasi.  Examiner harus bekerja sama dengan ahli forensik terkait untuk menjamin keutuhan dari bukti forensik lainnya tersebut;
  4. Keamanan dan kesehatan bagi examiner harus terjamin selama melakukan proses di lokasi kejadian. Misalnya sebelum memasuki lokasi kejadian, sudah ada petugas yang melakukan pengamatan dan penyisiran lokasi untuk menentukan bahwa lokasi kejadian aman.  Lalu examiner akan meninggalkan lokasi terlebih dahulu dan disusul oleh petugas keamanan.  Pekerjaan ini berkaitan dengan penggunaan alat-alat elektronik yang dapat mempengaruhi kesehatan dari examinerExaminer juga harus memperhatikan kemungkinan adanya bukti-bukti lain yang terkait dengan proses investigasi seperti darah dan cairan lainya. Bukti tersebut harus ditangani secara hati-hati karena dapat mengandung risiko yang bisa mempengaruhi kesehatan.
  5. Adanya otorisasi yang layak. Setiap examiner harus memiliki kewenangan sesuai aturan yang berlaku.  Proses perolehan data dalam mobile phone forensics akan mencederai hak pribadi berupa privasi dari seseorang.  Oleh karena itu, kewenangan untuk melakukan proses ekstraksi dan analisa atas data digital milik seseorang harus dimiliki oleh examiner untuk menjamin legalitas dari keseluruhan proses;
  6. Lokasi kejadian perkara harus dikelola dengan penuh kehati-hatian. Salah satu bentuk tantangan dari mobile phone forensics adalah ukuran dari perangkat telepon seluler dan perangkat terkait lainnya yang relatif kecil hingga mudah berpindah dan disembunyikan.  Examiner harus mencatat, merekam dan memfoto lokasi serta melakukan proses pencarian atas perangkat maupun dokumen yang terkait dengan proses mobile phone forensics.
  7. Integritas data selama proses ekstraksi sangat penting. Artinya examiner harus menghindari risiko berupa perubahan data mulai saat perolehan, analisis, penyimpanan dan penyajian data.
  8. Chain of custody. Prinsip ini berdasarkan proses dokumentasi yang telah dilakukan oleh examiner. Tujuannya adalah untuk mengetahui pergerakan dan lokasi dari alat bukti (fisik dan digital) sejak saat diperoleh hingga disajikan ke depan pengadilan.
  9. Otentifikasi dan jejak audit dari data yang diperoleh. Sepanjang proses ekstraksi, analisa dan penyimpanan, examiner harus memperhatikan dan menguji hash value dari keseluruhan data maupun data invidual. Jika terjadi perubahan, maka examiner harus mencatat dan menjelaskan penyebab terjadinya perubahan tersebut;
  10. Selalu memperhatikan informasi terkait fisik mobile phone yang meliputi:
    • Identitas dari perangkat keras mobile phone seperti IMEI/ESN;
    • Nomor UICC/SIM Card;
    • Penggunaan passcode.