Tinjauan Umum

Ancaman Mobile Malware

Jumlah pengguna telepon seluler terutama smartphone yang sangat besar dalam skala global, membuat para pengembang malicious software atau malware menjadikan pengguna telepon seluler sebagai target utama mereka.  Sebagai gambaran, pada tahun 2013 terdapat penjualan telepon seluler sebanyak 1,870 milyar dan sebanyak 1 milyar diantaranya merupakan smartphone.  Disisi lain, Gartner memperkirakan terdapat penurunan penjualan personal computer (PC) sebanyak 7,6% pada tahun 2013 dan diperkirakan trend ini akan berlanjut.  Sehingga dapat diprediksi terdapat kenaikan yang signifikan dari pengguna telepon seluler yang menggantikan penggunaan PC.  Fakta ini menjadi alasan utama mengapa para cybercriminal mengembangkan mobile malware secara intensif.

Riset dari Juniper Networks menunjukkan adanya peningkatan jumlah mobile malware sejak tahun 2010. Yaitu terdapat peningkatan sebanyak 155% antara tahun 2010 dan 2011 dan peningkatan sebanyak 614% antara bulan Maret 2012 hingga bulan Maret 2013.  Figur 1 menunjukkan adanya lonjakan jumlah Android malware sample tersebut.  Lonjakan ini seiring dengan lonjakan dari jumlah pengguna Android smartphone di dunia.

Figur 1: Pertumbuhan Android Malware Sample (periode November 2010-Januari 2014)

Slide1

Lembaga National Strategic Assessment (NSA) di Inggris melaporkan bahwa negara tersebut menderita kerugian lebih dari £16 milyar pada tahun 2015 dengan ancaman utama bersumber dari mobile malware yang menargetkan pengguna aplikasi finansial seperti mobile banking seiring dengan peningkatan jumlah pengguna aplikasi tersebut.  (http://www.scmagazineuk.com/uk-cyber-crime-exceeds-16-billion-losses-with-mobile-malware-a-major-threat/article/422510/)

Mobile Malware dan Platform

Data mengenai perkembangan mobile malware dan platform telepon seluler juga menunjukkan perkembangan dan perubahan yang menarik.  Pada tahun 2010, Nokia-Symbian OS dengan platform Oracle Jave merupakan target utama dari mobile malware.  Pada tahun 2011 terdapat pergeseran seiring dengan perkembangan dari pengguna smartphone Android.  Pada akhir bulan Maret 2013,  hampir 92% dari mobile malware menargetkan handset yang menggunakan Android sebagai sistem operasinya.

Menurut Kapersky Labs,  setiap bulannya terdapat 3.000 mobile malware yang baru yang menyerang handset Android. Sehingga pada akhir tahun 2012, hampir 99% populasi mobile malware menargetkan handset Android.   Oleh karena itu, masuk akal jika examiner harus memahami mobile malware yang menyerang Android.  Terutama yang berkaitan dengan kemampuan menganalisis mobile malware tersebut.

Mobile malware juga terdapat pada platform yang lain seperti iOS.  Dalam beberapa kasus terdahulu, malicious applications juga terdapat pada App Store walaupun jumlahnya relatif sedikit.  Terdapat beberapa faktor pendukung yang menyebabkan Android menjadi target utama dari mobile malware selain jumlah penggunanya yang sangat besar.  Faktor melekat seperti open-source, banyaknya jenis hardware (fragmented) yang ada di pasaran, tidak ketatnya proses verifikasi untuk menempatkan aplikasi di Google Playstore dan tidak adanya ‘push-factor’ bagi pengguna untuk meng-update versi Android menjadi yang terkini merupakan beberapa faktor pendukung handset Android menjadi target utama mobile malware.

Tipe Mobile Malware dan Potentially Unwanted Applications (PUA)

Selain mobile malware yang mengancam pengguna telepon seluler, sesungguhnya terdapat ancaman lain berupa potentially unwanted application (PUA).  Selanjutnya terdapat jenis PUA yang hanya bersifat mengganggu seperti (1) Adware (iklan), tetapi ada jenis lain seperti (2) Trackware yang mengancam privasi serta (3) Spyware yang juga dapat digunakan untuk mengumpulkan data terkait aktivitas pengguna dan bahkan data yang ada di dalam telepon seluler.

Jenis-jenis mobile malware tidak berbeda dengan jenis-jenis yang ada pada computer malware seperti Backdoor, Trojan, Worm dan Ransomware.  Tujuan dari mobile malware tersebut relatif sama dengan computer malware.  Backdoor adalah program yang dapat memberikan akses secara jauh tanpa adanya otorisasi dari pengguna atau pihak-pihak yang valid.  Trojans sebagai satu program dapat memiliki lebih dari satu tujuan serangan.  Misalnya mencuri data, mengubah user control atas handset, atau menggunakan sumber daya dari handset tanpa diketahui oleh pengguna.  Terdapat beberapa jenis dari Trojan, yaitu trojan-dropper, trojan-spy, trojan-downloader dan lain-lain.  Worms merupakan program yang dapat mereplikasi dirinya sendiri sehingga dapat memperbanyak jumlah worm ketika satu handset terhubung dengan handset lainnya atau ketika dihubungkan dengan satu media penyimpanan.

Slide2

Figur 2 menunjukkan adanya pertumbuhan yang pesat dari Adware dan RiskTool pada tahun 2014 dan 2015.

Slide3

Figur 3: Distribusi Mobile Malware yang Baru pada tahun 2014 & 2015

Trend Terakhir

Menurut laporan yang disusun oleh Kapersky pada tahun 2015, terdapat beberapa fakta yang ditemukan sepanjang tahun tersebut:

  • 961.727 malicious installation packages;
  • 884,774 new malicious mobile program-tiga kali lipat dari tahun 2014;
  • 030 mobile banking Trojans.

Beberapa trend yang ada pada tahun 2015:

  • Peningkatan jumlah malicious attachments yang sukar dihapus oleh pengguna;
  • Cybercriminal cenderung menggunakan teknik phishing agar tampak seperti aplikasi yang valid;
  • Peningkatan dalam jumlah ransomware;
  • Penggunaan super-user rights untuk aggresive advertising;
  • Peningkatan jumlah malware pada iOS
  • Tujuan mendapat keuntungan finansial (monetization motives).

 

Tinjauan Umum JTAG & Chip-Off Forensics

Disamping teknik ekstraksi berupa teknik fisikal, file system, lojikal dan manual,   terdapat dua teknik ekstraksi lainnya yaitu JTAG dan Chip-Off.  Umumnya kedua teknik tersebut merupakan upaya alternatif jika pada teknik-teknik ekstraksi lainnya ditemukan kendala atau hambatan. Dua hal yang mendasar dalam penggunaan kedua teknik adalah kondisi handset pada saat dilakukan ekstraksi:(1) handset harus dalam keadaan mati (off) (2) perolehan full raw image.  Hal ini berbeda dengan teknik-teknik sebelumnya yang akan mengekstrak data dari handset yang dalam keadaan hidup (on), serta memiliki opsi untuk mengekstrak lojikal dan filesystem.

Selain itu terdapat beberapa kondisi yang harus diperhatikan oleh examiner ketika ingin menggunakan teknik JTAG atau Chip-Off yaitu:

  • Kedua teknik tersebut bersifat invasive (merusak). Teknik JTAG terbilang tidak merusak, walaupun examiner tetap harus melepas beberapa bagian dari handset. Akan tetapi handset setelah proses ekstraksi masih tetap dapat digunakan.  Sedangkan pada Chip-Off, examiner harus melepas internal flash memory sehingga handset tidak diharapkan untuk dapat digunakan kembali;
  • Waktu yang dibutuhkan untuk pengerjaan kedua teknik tersebut terbilang panjang. Terutama untuk menganalisis raw dump yang dihasilkan dari proses ekstraksi;
  • Examiner membutuhkan pelatihan yang khusus dan pengalaman yang memadai sebelum dapat menggunakan kedua teknik tersebut. Risiko dalam penerapan kedua teknik ini sangat tinggi.  Satu kesalahan dalam pelaksanaan kerja dapat menyebabkan handset tidak dapat diakses secara total.

Joint Test Action Group (JTAG) Forensics

JTAG adalah nama yang umum digunakan untuk menyebut standar IEEE 1149.1 Standar Test Access Port and Boundary-Scan Architecture.  Awalnya standar ini digunakan untuk menguji printed circuit board (PCB) dengan menggunakan boundary scan.  Sekarang ini JTAG juga digunakan untuk IC debug ports.  Pada pasar embedded processor, seluruh modern processor telah mendukung penggunaan JTAG ketika memiliki jumlah pins yang cukup.

JTAG forensics  sebelumnya dikenal dengan nama teknik Flasher Boxes dan sudah cukup lama digunakan untuk proses ekstraksi data dari dalam telepon seluler. JTAG merupakan prosedur ekstraksi data dengan menghubungkan Standar Test Access Ports (TAPs) yang ada dalam handset dan mengirimkan instruksi pada processor untuk mentransfer seluruh raw data dalam memory chips yang terhubung dengan processor.  Ekstraksi atas full physical image akan sangat efektif, atas handset yang mendukung penggunaan JTAG.  Terdapat beberapa tantangan yang harus diperhatikan terkait penggunaan Flasher Boxes:

  • Handset akan reboot untuk memulai proses ekstraksi, hal ini akan mengaktifkan proses otentifikasi yang dapat mengunci handset yang dapat menghambat proses berikutnya;
  • Jika data dalam handset di-enkripsi, maka ketika dilakukan ekstraksi data tersebut tetap tidak dapat di-parsing, sehingga tetap membutuhkan tools untuk mendekripsi data agar dapat dianalisis;
  • Banyak handset membatasi akses ke memory address tertentu, sehingga proses ekstraksi tidak dapat memperoleh seluruh memory range address. Hanya pada range address tertentu yang dapat diekstraksi.
  • Perangkat flasher boxes terkadang memiliki banyak tombol yang memiliki label dengan nama yang hampir sama, sehingga dapat membingungkan examiner yang kurang pengalaman. Bukan tidak mungkin, seorang examiner salah menekan tombol, sehingga melakukan penghapusan data ketika bertujuan untuk mengekstrak data.
  • Dokumentasi untuk menjelaskan penggunaan flasher boxes seringkali sangat terbatas. Referensi untuk merujuk penggunaan flasher boxes seringkali hanya tersedia di forum-forum yang didukung oleh vendor.  Examiner harus berhati-hati atas petunjuk yang diberikan dalam forum tersebut, karena tidak seluruhnya tepat.
  • Pada dasarnya flasher boxes bukan ditujukan sebagai forensic tools, sehingga examiner harus memiliki pengetahuan dan pengalaman yang mencukupi dalam menggunakan alat-alat tersebut. Disarankan bagi examiner untuk menggunakan flashboxes pada perangkat yang identik sebelum diterapkan pada alat bukti berupa handset (Ayers et al., 2014).

Tinjauan Umum Sistem Operasi Symbian (Nokia)

Sistem Operasi Nokia (Feature Phone)

Handset dalam bentuk feature phone dengan merek Nokia sempat merajai pasaran mobile phone terutama untuk feature phone.  Examiner perlu memahami beberapa system operasi yang unik yang ada dalam feature phone merek Nokia tersebut.  Sebetulnya Sistem Operasi Nokia yang ada pada feature phone bukanlah nama resmi yang disematkan oleh Nokia, melainkan platform Intelligent Software Architecture (ISA).  Platform ISA bersifat unik, artinya hanya digunakan oleh feature phone yang dibuat oleh Nokia dan tidak digunakan oleh pabrikan feature phone lainnya.  Bahasa pemrograman yang digunakan sebagian besar adalah Java Platform, Micro Edition (Java ME).  Beberapa seri feature phone Nokia yang menggunakan platform ISA tersebut adalah Nokia Series 30 dan Series 40, dimana Series 40 memiliki lebih banyak fitur dibandingkan Series 30.

Sistem Operasi Symbian pada Smartphones

Nokia menggunakan sistem operasi Symbian untuk mendukung teknologi smartphone mereka.  Kerjasama antara Nokia dan Symbian melahirkan platform Series 60 di jajaran smartphone Nokia.  Nokia sendiri bukan satu-satunya pabrikan hardware yang menggunakan Symbian sebagai sistem operasi.  Beberapa pabrikan seperti Samsung, LG, Sony Ericsson, Motorola, Fujitsu dan Sharp juga menggunakan Symbian pada produk-produk smartphone mereka.

Symbian OS baru menjadi merek dagang dimulai dari pengembangan Symbian OS 6.0 dan 6.1.  Sebelumnya, Symbian menggunakan beberapa nama yang berbeda untuk sistem operasinya.

Symbian OS 7.0 dan 7.1 digunakan pada Nokia Series 80 seperti Nokia 9300 dan Nokia 9500.  Lalu juga digunakan pada Nokia Series 90 seperti Nokia 7710 dan Nokia 7700.  Selanjutnya juga digunakan pada Nokia Series 60 seperti Nokia 3230, 6260, 6600, 6670, dan 7610.

Symbian OS 8.x digunakan pada Nokia series N, yaitu pada Nokia N80.  Lalu Symbian OS 9.x, yaitu OS 9.1 terdapat pada Nokia N73.  Pada versi ini terdapat kewajiban code signing bagi aplikasi dan adanya upgrade untuk Bluetooth support.  Versi 9.2 ditemukan pada Nokia E71, E90, N95, N82 dan N81.  Nokia 5230, 5730 XpressMusic, E72 dan N96 menggunakan OS 9.3.  Lalu versi 9.4 mendukung penggunakan SQLite dan menjadi dasar dari pengembangan Symbian^1.  Symbian^2 untuk handset yang hanya dipasarkan di Jepang dan Symbian^3 atau versi 9.5 dikenal sebagai Symban Anna untuk handset dari Nokia.  Versi 10.1 atau dikenal sebagai Nokia Belle merupakan Symbian OS yang terakhir yang digunakan semata-mata untuk Nokia.

Nokia dan Windows OS

Nokia telah memberikan kontribusi yang sangat besar bagi pengembangan teknologi GSM dan 2G yang memungkinkan adanya layanan suara, text dan data pada teknologi komunikasi nirkabel.  Nokia dapat ditemukan di lebih dari 150 negara.  Dikenal sebagai pengguna sistem operasi Symbian, akhirnya Nokia melepaskan penggunaan Symbian pada awal tahun 2011 dan memutuskan untuk menggunakan plaftorm sistem operasi Windows Phone.

Handset Nokia yang menggunakan Symbian dipasarkan pada tahun 2011 dan Accenture telah ditunjuk sebagai organisasi yang mengelola Symbian dalam Nokia hingga tahun 2016 sebagai periode transasisi penggunaan Windows Phone OS.  Oleh karena itu, examiner mungkin menemukan handset Nokia yang menggunakan Symbian OS dan juga menemukan handset Nokia yang sudah menggunakan Windows Phone OS.  Nokia pertama kali menggunakan Windows Phone versi 7.5 dan saat ini Windows Phone 8.1 sudah menjadi stardard dan penetapan Windows 10 Mobile sudah didepan mata.

Tinjauan Umum Knock-Off Mobile Phone

Perkembangan Knock-Off Mobile Phone

Knock-off smartphone merupakan istilah yang digunakan untuk handset yang diproduksi di China, Peru, Mexico dan Taiwan yang merupakan produk imitasi dari salah satu merek smartphone.  Misalnya “Nokla” sebagai produk imitasi dari “Nokia”, lalu “LC” yang mengimitasi “LG”.  Selain itu terdapat SCI-Phone, iOrange dan GooPhone yang merupakan knock-off dari produk iOS serta Ophone OS yang merupakan produk knock-off untuk Android.

Examiner tidak bisa mengabaikan keberadaan knock-off smartphone yang ada di pasaran.  Saat ini diperkirakan 30% dari total smartphone secara global terdiri atas knock-off.  Tahun lalu bahkan terdapat 800 juta knock-off smartphone diproduksi secara global.  Sehingga hanya masalah waktu seorang examiner akan mendapatkan knock-off smartphone untuk diproses.

Umumnya, perangkat knock-off menggunakan chip MediaTek (MTK), Spreadtrum, Infineo atau Mstar.  Chipset MTK dan Spreadtrum paling banyak digunakan oleh knock-off smartphone dan banyak mobile phone forensic tool dan mendukung kedua jenis chipset tersebut.  Infineo termasuk jarang ditemukan, sedangkan Mstar lebih banyak digunakan untuk knock-off BlackBerry.  Saat ini, tidak ada forensic tools yang mendukung handset dengan chipset Mstar, sehingga satu-satunya cara untuk mengekstrak data adalah JTAG atau Chip-Off.

Ciri khas Knock-Off Phone

Beberapa knock-off phone tidak mudah untuk dideteksi (dibedakan dengan aslinya).  Sebagai contoh, GooPhone akan tampak persis seperti iPhone 5. Sehingga konsumen dapat terkecoh dan menyangka bahwa mereka telah membeli smartphone yang asli.

Figur 11- 1: Knock-Off Phone

Beberapa ciri khas dari keberadaan knock-off phone:

  1. Penamaan (merek) yang salah. Misalnya ‘Nokla” hingga sekilas tampak seperti “Nokia”;
  2. Kabel yang digunakan tidak tepat. Misalnya SCI-Phone yang tampak seperti iPhone 3GS menggunakan miniUSB dan bukan kabel standar untuk iPhone;
  3. Handset tersebut mungkin membutuhkan stylus dan atau antenna;
  4. Handset menggunakan dua slot atau lebih SIM card;
  5. Material yand digunakan kelihatan tidak berkualitas, berat terlalu ringan.

Website http://www.spotafakephone.com/ merupakan salah satu referensi yang dapat digunakan untuk membahas keberadaan knock-off phone.

Tinjauan Umum Sistem Operasi Windows Mobile

Tinjauan Umum

Windows Mobile adalah salah satu platform yang tersedia saat ini bagi smartphone dan PDA.  Di Amerika Serikat, pengguna Windows Mobile mencakup 5,6% dari total penjualan smartphone pada bulan Juni 2013.  Windows Mobile menyediakan standarisasi antarmuka (interface) dan standarisasi platform bagi para pengembang aplikasi.  Terdapat dua edisi platform Windows Mobile yaitu edisi Windows Mobile Standard dan edisi Windows Mobile Professional. Selain itu terdapat edisi untuk PDA yang tidak memiliki fungsi teleponi.  Terdapat beberapa pabrikan yang menghasilkan handset Windows Mobile seperti Nokia, HTC, Samsung dan Huawei termasuk Microsoft sendiri.  Sampai saat ini, versi dari Windows Mobile yang telah beredar adalah Windows CE, Windows Mobile, Windows Phone 7, Windows Phone 8, Windows Phone 8.1 dan Windows 10 Mobile.  Sesungguhnya perkembangan versi Windows Mobile mengikuti perkembangan dari Windows Operating System yang digunakan pada Desktop/PC.

Fitur Tersedia

Pada Windows Phone terkini, terdapat beberapa fitur terbaru antara lain:

  • Cortana: semacam aplikasi personal assistant. Pertama kali digunakan pada Windows 8.1 dan tetap digunakan pada Windows 10.  Cortana dapat membantu pengguna dalam menggunakan Bing, setting reminder, mengirim texts dan membantu pengguna dalam menggunakan seluruh fungsi dan fitur dalam handset.  Semua yang berhubungan dengan penggunaan Cortana akan meninggalkan jejak di dalam handset;
  • Wallet: aplikasi untuk menyimpan data kartu kredit, boarding passes, tiket, kupon dan lain sebagainya;
  • Geofence dan Advanced Location Settings: aplikasi untuk memberikan pengamanan tambahan dimana telepon akan mendeteksi ketika berada di luar trusted zone dan akan mengunci dengan sendirinya;
  • Additional Features: seperti live Tiles, enhanced colors, quite hours dan lain sebagainya.

Terdapat beberapa aplikasi lainnya yang terkait dengan penggunaan Windows Phone seperti OneDrive (dahulu dikenal sebagai SkyDrive), OneNote, dan Office 365 Synchronization.  OneDrive dapat digunakan oleh pengguna untuk mengakses seluruh dokumen dan file-file lainnya dari berbagai perangkat mobile.  OneNote memiliki fungsi yang sama namun lebih berfungsi sebagai notebook atau diary.  Office365 memberikan akses secara konstan atas email, kalendar, kontak dan pada perangkat lain milik pengguna.

Windows Mobile vs PC

Beberapa teknik yang umumnya digunakan dalam computer forensics atas Microsoft Windows operating system dapat diterapkan dalam Windows Mobile.  Termasuk di dalamnya adalah file system FAT, file index.dat dan artifak lainya.  Dari sudut pandang digital forensics, terdapat beberapa kesamaan dan perbedaan antara Windows Mobile dan Windows PC.

Persamaan

Salah satu bentuk persamaan adalah struktur file system, sehingga lokasi data yang berpotensi menjadi bukti juga memiliki kesamaan.  Kesamaan lainnya adalah registry untuk menyimpan pengaturan dan preferences dari pengguna (user) dan program yang di-install, walaupun terdapat perbedaan format dan struktur dari registry antara Windows PC dan Windows Mobile.  Kesamaan lainnya adalah keduanya menggunakan file Temporary yang dapat menjadi sumber dari data.

Perbedaan

Perbedaan-perbedaan antara Windows PC dan Windows Mobile adalah penggunaan Embedded (.vol) database pada Windows Mobile. Serta adanya perbedaan dalam ‘usage artifact’ dan jangka waktu penyimpanan data.

Beberapa format data dalam Windows Mobile mungkin kurang familiar bagi para examiner seperti file volume dan embedded database.  Mobile phone forensic tool untuk ekstraksi, interpretasi dan analisis data atas Windows Mobile mengalami tantangan untuk dapat mengimbangi pesatnya perkembangan dan perubahan dari Windows Mobile.  Salah satu tantangan terbesar adalah melakukan ekstraksi fisikal dan file system, karena banyaknya file yang dikunci (locked) pada saat handset dalam keadaan beroperasi.

Tinjauan Umum Sistem Operasi Blackberry

Perangkat Lunak (Software ) BlackBerry

Terdapat tiga kelompok software  dari Blackberry yaitu (1) Server Side Software, (2) Desktop Software dan (3) Device Software.  Untuk Server Side Software terdapat dua jenis yaitu (1) BlackBerry Enterprise Software (BES) yaitu server side software untuk mendukung penggunaan paket software untuk corporate messaging seperti Lotus Domino, Novell GroupWise, dan (2) Microsoft Exchange yang digunakan untuk proses sinkronisasi dengan perangkat BlackBerry yang digunakan oleh perusahaan.  Umumnya software  ini dikelola oleh Bagian IT atau BES administrator yang ditunjuk.  Server Side Software yang kedua adalah BlackBerry Internet Service (BIS) yaitu software  yang digunakan untuk mendukung pengguna dalam mengkonfigurasi perangkat BlackBerry dalam menerima e-mail sampai dengan 10 akun email.

Untuk Desktop Software terdapat dua jenis software yaitu BlackBerry Desktop Manager (BDM) yang digunakan untuk proses backup, sinkronisasi dan memulihkan (recovery) data dalam perangkat BlackBerry.  Umumnya BDM terdapat pada BlackBerry OS 7.x dan sebelumnya.  Jenis yang kedua adalah BlackBerry Link yang digunakan khusus untuk perangkat BlackBerry terbaru (OS 10).  Seperti halnya BDM, BlackBerry Link digunakan oleh pengguna untuk proses backup data pengguna seperti: contacts, calendars, call logs, SMS, tasks, bookmarks, alarms, informasi WLAN dan file lainya.

Untuk Device Software, perangkat BlackBerry terdahulu menggunakan plaftorm J2ME, selain itu aplikasi dibuat dengan JAVA yang menggunakan API khusus dari RIM.  Untuk aplikasi dalam BlackBerry menggunakan ekstensi .cod atau .bar untuk OS yang lama, sedangkan pada OS 10, file ekstensi yang digunakan adalah .apk.  Perkembangan dari Device Software akan dibahas lebih detil pada bagian selanjutnya.

BlackBerry OS 7.x dan Sebelumnya

RIM mengembangkan sistem operasi yang khusus dirancang untuk dapat berjalan di Blackberry device.  Pada tahap pertama, dikembangkan Java-based OS yaitu versi 3.x dengan menggunakan J2ME dan custom APIs dari RIM.

Aplikasi dikembangkan dengan menggunakan JAVA dan dikompilasi ke dalam file .cod.  Aplikasi memiliki akses secara terbatas dan berjalan dalam “sandbox” untuk pengamanan.  Artinya satu aplikasi hanya memiliki akses atas data milik aplikasi tersebut dan tidak bagi aplikasi lain atau host OS.  Terdapat beberapa perkembangan dari setiap versi:

  • Versi 3.x: terdapat beberapa fitur seperti GSM/GPRS radio, over the air (OTA) syncing untuk kalendar dan servis Outlook dan BES;
  • Versi 4.x: enkripsi atas komunikasi, update ke BES, kemampuan untuk sinkronisasi kontak, task dan informasi personal lainna dan S/MIME (secure/multipurpose internet mail extension) email;
  • Versi 5.x: peningkatan pengamanan, memory management dan perbaikan atas fitur seperti Maps dan multimedia;
  • Versi 6.x dan 7.x: memiliki grafis yang lebih baik dan fokus pada aplikasi jejaring sosial.

BlackBerry OS 10

Blackberry Playbook merupakan produk pertama dari Blackberry yang menggunakan QNX OS yang merupakan varian dari Linux.  Walaupun produk ini terbilang gagal di pasaran, beberapa teknologi yang digunakan dalam Playbook kemudian digunakan pada produk-produk smartphone dari RIM.  Beberapa fitur yang ada dalam OS 10 adalah:

  • Voice recognition software
  • Blackberry Hub
  • Menggunakan flash untuk web browsing
  • BBM yang mendukung video chat (hanya tersedia pada BB 10).
  • Blackberry Protect
  • Blackberry World
  • Mapping technology

Perangkat yang menggunakan OS 10 antara lain Blackberry Q5, Blackberry Q10, Blackberry Z10 dan Porsche (Z10 variant) dan Blackberry Z30 (Tablet).  Sedangkan versi dari OS 10 adalah 10.0, 10.1, 10.2, 10.2.1, 10.3.0, 10.3.1 dan 10.3.2.

Sistem Operasi iOS – Tinjauan Umum

Sistem Operasi iPhone

iOS merupakan sistem operasi yang dikembangkan dan dimiliki oleh Apple untuk produk-produk perangkat mobile mereka.  Pertama kali, Apple memberikan nama iPhone OS untuk kemudian diganti menjadi iOS untuk merefleksikan penggunaan sistem operasi tersebut dalam seluruh perangkat Apple iOS (iDevices) seperti iPhone, iPode Touch, iPad, iWatch dan Apple TV.  Pada dasarkanya iOS menggunakan teknologi inti dari OS X dengan beberapa perbedaan yang signifikan antara lain:

  1. Arsitektur dimana kernel dan binaries dilakukan kompilasi menggunakan ARM-based bukan Intel x86_64;
  2. OS X kernel adalah open source sedangkan iOS kernel tetap tertutup (komersial);
  3. Memory management lebih ketat;
  4. Systemnya juga lebih ketat dengan pembatasan akses atas APIs terkait;
  5. Penggunaan “gesture-based touch interface” pada perangkat iOS;
  6. Pengaturan file-file yang disimpan. Mac OS X menyediakan akses atas file system melalui “Finder”, sedangkan iOS tidak memperlihatkan akses tersebut dan tidak menggunakan pengorganisasi file system seperti dalam OS X.

Tinjuan  iDevices

Selayaknya setiap examiner dalam melakukan iOS Forensics memahami komponen-komponen internal dan bagaimana komponen tersebut bekerja. Sehingga dengan pemahaman tersebut, examiner dapat mengetahui semua aspek kritikal dalam iOS Forensics terutama dalam mengindentifikasi seluruh data yang dapat diekstrak, dimana data tersebut tersimpan dan metode apa yang dapat digunakan untuk mengekstrak data tersebut.  Pembahasan pada bab ini berpusat pada perangkat iPhone dan teknik atau metode forensics yang digunakan-teknik yang sama mungkin dapat diterapkan pada iDevices yang lain seperti iPod Touch, iPad dan Apple TV.

File system yang digunakan berbasis HFSX atau dapat dikatakan mirip dengan HFS. Data disimpan dalam file databases SQLite dan Plist.  Seperti halnya Android, iOS juga menggunakan application sandbox untuk alasan keamanan.  Hal ini memberikan keuntungan bagi examiner, karena penggunaan sandbox membuat data tersimpan dalam file cache database.

Pada tabel ditunjukkan daftar dari iPhone sejak pertama kali dipasarkan pada tahun 2007 hingga bulan April 2016.  Selain iPhone, terdapat produk-produk dari Apple yang menggunakan iOS (iDevice) seperti iPad, iPad Mini, iPod Touch, Apple TV dan Apple Watch.  Informasi lebih lengkap atas seluruh produk iDevice dapat dilihat pada https://www.theiphonewiki.com/wiki/Models dan https://en.wikipedia.org/wiki/List_of_iOS_devices.

Tabel 7- 1: Daftar Model iOS Devices

Name Perangkat Nomor Model Nama Internal Identifier Tahun Kapasitas (GB)
iPhone SE A1662-A1723A-1724 N69AP, N69uAP iPhone 8,4 2016 16, 64
iPhone 6s Plus A1634-A1687-A1699-A1690 N66A9, N66mAP iPhone 8,2 2015 16, 64, 128
iPhone 6s A1633-A1688-A1700-A1691 N71AP, N71mAP iPhone 8,1 2015 16, 64, 128
iPhone 6 Plus A1522-A1524-A1593 N56AP iPhone 7,1 2014 16, 64, 128
iPhone 6 A1549-A1586-A1589 N61AP iPhone 7,2 2014 16, 64, 128
iPhone 5S CDMA A1457-A1518-A1528-A1530 N53AP iPhone 6,2 2013 16, 32
iPhone 5S GSM A1433-A1533 N51AP iPhone 6,1 2013 16, 32, 64
iPhone 5C CDMA A1507-A1516-A1526-A1529 N49AP iPhone 5,4 2013 16, 32
iPhone 5C GSM A1456-A1532 N48AP iPhone 5,3 2013 16, 32
iPhone 5 rev.2 A1429-A1442 N42AP iPhone 5,2 2012 16, 32, 64
iPhone 5 A1428 N41AP iPhone 5,1 2012 16, 32, 64
iPhone 4s (China) A1431 N94AP iPhone 4,1 2011 8, 16, 32, 64
iPhone 4S A1387 N94AP iPhone 4,1 2011 8, 16, 32, 64
iPhone 4 CDMA A1349 N92AP iPhone 3,2 2011 8, 16, 32
iPhone 4 GSM A1332 N90AP iPhone 3,1 2010 8, 16, 32
iPhone 3GS (China) A1325 N88AP iPhone 2,1 2009 8, 16, 32
iPhone 3GS A1303 N88AP iPhone 2,1 2009 8, 16, 32
iPhone 3G (China) A1324 N82AP iPhone 1,2 2009 8, 16
iPhone 3G A1241 N82AP iPhone 1,2 2008 8, 16
iPhone 2G A1203 M68AP iPhone 1,1 2007 4, 8, 16

Sebelum melakukan investigasi, examiner harus dapat mengidentifikasi model hardware dan versi firmware yang digunakan oleh perangkat.  Informasi atas detil dari iPhone membantu examiner dalam memahami kritikalitas dan setiap kemungkinan yang ada dalam mengekstrak data.  Sebagai contoh, dalam banyak kasus, penggunaan passcode dari perangkat dibutuhkan untuk mengekstrak lojikal, file system atau fisikal image.  Bergantung pada versi iOS, model perangkat, dan kompleksitas, masih terdapat kemungkinan untuk meng-crack passcode dengan teknik brute-force attack.

Terdapat berbagai cara untuk mengidentifikasi perangkat keras (hardware) iPhone.  Cara yang paling singkat adalah dengan melihat nomor model dari belakang casing.  Selanjutnya, examiner dapat mengetahui detil informasi dari model tersebut (A1303) melalui link https://support.apple.com/kb/SP565?locale=en_US.