Android forensics: Automated data collection and reporting from a mobile device
abstract
In this research, a prototype enterprise monitoring system for Android smartphones wasdeveloped to continuously collect many data sets of interest to incident responders, securityauditors, proactive security monitors, and forensic investigators. Many of the datasets covered were not found in other available enterprise monitoring tools. The prototypesystem neither requires root privileges nor the exploiting of the Android architecture for proper operation, thereby increasing interoperability among Android devices and avoidinga spyware classification for the system. An anti-forensics analysis on the system wasperformed to identify and further strengthen areas vulnerable to tampering. The contributionsof this research include the release of the first open-source Android enterprisemonitoring solution of its kind, a comprehensive guide of data sets available for collection without elevated privileges, and the introduction of a novel design strategy implementingvarious Android application components useful for monitoring on the Android platform.
Keywords:Android;Mobile device;Enterprise user monitoring;Insider threat;Internal investigation
1. Introduction
In the United States (U.S.), 121.3 million peopledroughly one third of the populationdowned a smartphone as of October 2012 (comScore, 2012; USA Census Bureau, 2010). The major players in the smartphone market included Google, Apple, Research In Motion (RIM), and Microsoft. Googlersquo;s Android platform showed significant gains, up to 53.6% of the market, while RIM continued its decline to 7.8% (comScore, 2012). As Googlersquo;s prevalence in the smartphone market grows, so will the pressure for organizations tomove fromexistingmobile options to Android. These organizations include U.S. government agencies, some of which are considering transitioning from RIM to new smartphone systems (Marks, 2012; Rauf, 2012). Some organizations have begun offering personnel the ability to use personal devices (including Android smartphones) on corporate networks under Bring Your Own Device (BYOD) policies (Citrix, 2011). BYOD is forecasted to spawn a $181.39 billion industry by 2017 (MarketsandMarkets, 2012).
Given the mobile device trends in government and industry, the challenge of securing smartphones on an enterprise has emerged. Most vendors do not design smartphones primarily for businesses but instead for consumers who will utilize their phones as personal devices. RIM is an exception, as corporate customers can deploy a BlackBerry Enterprise Server for device management. Unlike RIM, Android device vendors do not ship with built-in mobile device management (MDM) systems. Third-party MDM is a quickly evolving vendor space that addresses the security gaps left by the smartphone industry. Within the next five years, 65% of all enterprises are expected to adopt an MDM system (Pettey, 2012). BYOD increases the need for MDM systems due to the inherent risks involved with allowing untrusted devices on an enterprise; organizations need strict enforcement of mobile device security policies to mitigate the BYOD risks.
Research on several leading MDM products revealed a general lack of features that perform automated collections of forensic data from Android devices at the enterprise level. The availability of this data would aid common security practices found within organizations including incident response, security auditing, proactive security monitoring, and forensic investigations. According to the 2010/2011 Computer Security Institute Computer Crime and Security Survey, 61.5% of respondents from various companies reported that internal audits were performed within their organizations as a security mechanism. Additionally, 44% reported that data-loss prevention and usercontent monitoring programs were in place (Richardson, 2010). These statistics show that many organizations are aware of insider threat enterprise risks and have taken steps to mitigate them; however, given the lack of technology to monitor Android smartphones, many actions performed on these devices are not audited. The lack of monitoring options, coupled with the significant influence this data can have on internal investigations, led to the proposal and development of a prototype solution named DroidWatch, which is the subject of this paper.
This paper focuses on the design and implementation of an Android application (“app”) that automates the collection of useful data for internal investigations, including policy violations, intellectual property theft, misuse, embezzlement, sabotage, and espionage. Data was collected from a Samsung Galaxy S II Epic 4G Touch Android smartphone running Gingerbread 2.3.6. It was then sent to a remote Ubuntu server running PHP, MySQL, Apache, and Splunk. Capabilities such as anti-virus, root detection, and protections against the apprsquo;s termination or uninstallation are necessary for system and enterprise security, but are out of scope for this research. All data collected by the implemented app will occur with user consent by means of a banner (“user consent banner”) similar to those commonly found on corporate or government networks. Data will not be obtained with root privileges or exploitation of the Android architecture.
The remainder of this paper is organized as follows. Section 2 describes background topics involving Android development, security, and privacy. Related work is found in Section 3, followed by design and implementation details of DroidWatch in Section 4. Future work and the conclusion are presented in Sections 5 and 6, respectively.
2. Background
The following subsections discuss basic app development terminology (Section 2.1), the Android app security model (Section 2.2), implications of rooting a device (Section 2.3), handling of mobile devices
全文共36992字,剩余内容已隐藏,支付完成后下载完整资料
Android取证:从移动设备自动收集数据和进行报告
摘要:在这项研究中,针对Android智能手机的原型企业监控系统被开发出来,以不断收集事件响应者,安全监控人员,主动安全监控人员和法医调查人员感兴趣的许多数据集。在其他可用的企业监控工具中没有发现涵盖的许多数据集。原型系统既不需要root权限,也不需要利用Android架构进行正确的操作,从而提高了Android设备之间的互操作性,并避免了系统的间谍软件分类。对系统进行了反取证分析,以确定并进一步加强易受篡改的地区。这项研究的成果包括发布了第一个开放源代码的Android企业监控解决方案,提供了可用于在没有提升特权的情况下收集的数据集的综合指南,以及引入了一种新颖的设计策略,实现了各种可用于监控Android平台。
关键词:Android;移动设备;企业用户监控;内部威胁;内部调查
1.介绍
截至2012年10月,美国(美国)的人口中,有1.21亿人口占智能手机的三分之一(comScore,2012;美国人口普查局,2010)。智能手机市场的主要参与者包括Google,Apple,Research In Motion(RIM)和微软。 Google的Android平台显示出显着的增长,高达53.6%的市场,而RIM继续下降到7.8%(comScore,2012)。随着谷歌在智能手机市场的盛行度不断提高,组织向Android推出固定移动选项的压力也会增加。这些组织包括美国政府机构,其中一些机构正在考虑从RIM转向新的智能手机系统(Marks,2012; Rauf,2012)。一些组织已经开始向员工提供使用个人设备(包括Android智能手机)在企业网络中使用自带设备(BYOD)策略(Citrix,2011)的能力。 BYOD预计到2017年将产生1813.9亿美元的行业(MarketsandMarkets,2012)。
鉴于政府和行业中的移动设备趋势,智能手机在企业中的安全问题已经浮出水面。大多数供应商不主要针对企业设计智能手机,而是针对将他们的手机用作个人设备的消费者。 RIM是一个例外,因为企业客户可以部署BlackBerry Enterprise Server以进行设备管理。与RIM不同的是,Android设备供应商没有内置移动设备管理(MDM)系统。第三方MDM是快速发展的供应商空间,可解决智能手机行业留下的安全空白。在未来五年内,预计所有企业中有65%将采用MDM系统(Pettey,2012)。 BYOD增加了对MDM系统的需求,因为允许企业中的不可信设备涉及固有风险;组织需要严格执行移动设备安全策略来缓解BYOD风险。
对几种领先的MDM产品的研究表明,普遍缺乏在企业级从Android设备执行自动收集的取证数据的功能。这些数据的可用性将有助于在组织内发现的常见安全实践,包括事件响应,安全审计,主动安全监控和法医调查。根据2010/2011年度计算机安全协会计算机犯罪与安全调查,来自不同公司的61.5%的受访者表示,内部审计是在其组织内作为安全机制进行的。此外,44%的受访者表示数据丢失预防和用户内容监控计划已到位(Richardson,2010)。这些统计数据表明,许多组织都意识到内部威胁企业风险并已采取措施减轻风险;然而,由于缺乏监控Android智能手机的技术,因此在这些设备上执行的许多操作都未经审核。缺乏监测选项,再加上这些数据对内部调查的重大影响,导致提出并开发了一个名为DroidWatch的原型解决方案,这是本文的主题。
本文重点介绍Android应用程序(“应用程序”)的设计和实现,该应用程序可自动收集用于内部调查的有用数据,包括违反政策,盗用知识产权,滥用,盗用,破坏和间谍活动。数据来自运行Gingerbread 2.3.6的三星Galaxy S II Epic 4G Touch Android智能手机。然后它被发送到运行PHP,MySQL,Apache和Splunk的远程Ubuntu服务器。系统和企业安全性需要防病毒,根检测和应用程序终止或卸载保护等功能,但不在本研究的范围内。所实施的应用程序收集的所有数据都将在用户同意的情况下通过与企业或政府网络上常见的横幅类似的横幅(“用户许可横幅”)进行。数据不会以root权限或Android架构的开发获得。
本文的其余部分安排如下。第2节介绍涉及Android开发,安全性和隐私的背景主题。相关工作见第3节,随后是第4节DroidWatch的设计和实现细节。未来的工作和结论分别在第5节和第6节中介绍。
2.背景
以下小节讨论基本应用程序开发术语(第2.1节),Android应用程序安全模型(第2.2节),设备生根的含义(第2.3节),当前调查中处理移动设备(第2.4节)以及隐私问题2.5)。
2.1 Android应用程序开发术语
Android应用程序组件是Android框架的构建模块,可帮助定义应用程序的行为。以下应用程序组件在Droid-Watch中实现:活动,服务,内容提供者,广播接收者,内容观察者和警报。下面描述的每个组件都具有独特和有用的用途。
活动是实现用户界面的单独屏幕。他们显示信息,提示用户交互以及在应用程序中启动其他活动。在DroidWatch中,很少使用活动;大部分工作都在后台进行,以免影响整体用户体验。
服务是长时间运行的后台操作,不需要用户交互。其他应用程序组件(如活动)可以启动服务并使其保持运行,即使其他应用程序和服务正在运行。DroidWatch依靠不断运行的服务来产生数据收集和传输。
内容提供者是管理应用程序数据访问和共享的应用程序组件。应用程序通过预定义的统一资源标识符(URI)与内容提供者接口。应用程序基础)。 DroidWatch以两种方式使用内容提供者:(1)读取存储在其他应用程序中的数据;和(2)读取和写入存储在DroidWatch应用程序中的数据。
广播接收器是处理和响应Android设备上的广播系统事件的应用程序组件(Google。(n.d.)。应用程序基础)。它们被实现到DroidWatch中以检测诸如传入的短消息服务(SMS)消息和应用安装之类的事件。
内容观察者是与内容提供者关联时,在目标数据集的底层数据库内容被修改时接收通知的组件。DroidWatch使用这些来检测数据的实时更改。
警报是预定的操作,类似于cron作业,在DroidWatch中配置为定期查询内容提供者并提取新数据。他们是可靠的,但只能在指定的时间运行。
2.2 Android应用安全
Google针对Android应用的安全模型涉及在应用的AndroidManifest.xml文件(又称为“AndroidManifest”)中声明权限。 默认情况下,没有请求权限的应用程序不能“执行任何会对其他应用程序,操作系统或用户造成不利影响的操作”。 这意味着应用程序无法访问其他应用程序的私人数据,使用网络服务,写入内部/外部存储器或执行其他基本功能。 新下载的应用程序必须在安装前将其声明的权限提交给用户以供验收。
2.3 Rooting
通过开机,用户可以在设备上执行比普通用户模式下更高的特权功能。它可以用于合法或非法目的。用户可能想要规避安全限制或篡改通过像DroidWatch这样的应用程序收集的数据。根访问权也可以由法医调查人员合法使用以从设备提取数据;但是,只要有可能就应该避免。该过程通常会利用特定设备或操作系统中的安全漏洞,并可能导致进一步的安全漏洞。生根还会改变设备的某些部分(一种与法医实践相矛盾的行为);尽管如此,取决于所需数据的情况和类型,生根可能是不可避免的(Vidas等,2011)。尽管root访问权限可能会增加DroidWatch等应用程序的功能数量,但其后果可能会损害系统的安全性,降低互操作性并使智能手机提供商的保修承担风险。
2.4智能手机调查
执法机构和政府机构是移动安全的主要参与者,因为他们有权调查犯罪行为并获得敏感的政府信息。公司也对移动安全非常感兴趣,以保护自己免受商业间谍,金融盗窃和知识产权盗窃的侵害。涉及离婚协议,监护权争议,遗产纠纷等的私人利益也从该领域的进步中获益(Hoog,2011)。
因此,从智能手机监测中受益的调查类型包括执法调查,内部调查和私人调查。本研究重点关注组织内部(包括事件响应者,安全审计员等)人员,签约或其他人员进行的内部调查,以调查潜在的政策违规行为,知识产权盗窃,误用,贪污,破坏活动,间谍活动和其他查询或指控。内部调查人员不需要遵守执法调查的严格取证和保存程序,但通常会尝试遵守常用的法医技术和规则。
为了获取宝贵的智能手机数据进行内部调查,传统上需要物理访问设备。 EnCase Enterprise是一个例外,它于2012年10月通过网络对Android设备进行远程取证成像。一些MDM也可以执行有限的监控(具体产品在3.1节中有介绍),但还不足以有效解决调查人员的需求。假设移动设备被物理检索,调查人员可以使用各种工具来获取设备当前状态的逻辑或物理快照。(Hoog,2011)中的Andrew Hoog列出了许多可用于捕获Android智能手机信息的工具。一些工具是手持式硬件设备,另一些是软件产品;然而,所有这些都通过通用串行总线(USB)连接工作,并且需要物理访问智能手机才能正常工作。另外,许多工具需要root权限(Valle,2013)。
2.5隐私问题
DroidWatch在手机启动过程中显示用户许可标语,通知用户隐私预期并获得他们的同意(有关同意标语实施的更多详情,请参阅第4.1.2节)。这有助于应用程序避免间谍软件分类并可能阻止系统滥用。
表1列出了几种适用的移动设备隐私案例。在美国诉齐格勒案(美国上诉法院,2007年)中,美国上诉法院裁决可以使用允许使用同意标语来通知用户有关DroidWatch监控政策的内容。安大略省对QuonU.S的裁决可能会对潜在的BYOD影响提出争议。最高法院案(美国最高法院,2010年)。因此,组织可能会觉得它有权在所有企业智能手机(包括个人拥有的手机)上安装DroidWatch等监控应用程序,因为手机正在其私人控制的网络上运行。 Carrier IQ案件虽然在撰写本文时尚未解决,但可作为未经用户许可即可在智能手机上监控用户数据而产生法律问题的例子(Davis,2012)。
3.相关工作
3.1商业产品
第三方MDM产品增加了使用移动设备的企业的整体安全性;但是,大多数MDM不包含深入的用户监控功能。一些领先的MDM产品(如Zenprise,AirWatch和MobileIron)提供有限的监控功能(例如,GPS跟踪和SMS监控),但未能收集其他有助于内部调查的可用数据集。在所研究的MDM产品中,瞻博网络的Junos Pulse移动安全套件(v.3.0R3)提供了最多的用户监控功能,并作为本研究的一部分进行了评估。调查结果显示,该产品收集了DroidWatch中涵盖的大约50%的数据集;但是,数据必须由Junipercontrolled存储和托管系统,这可能会妨碍组织要求在内部存储其审计数据。
其他商用产品(如个人“间谍”应用程序(例如Mobistealth,StealthGenie,FlexiSpy和Mobile Spy))收集了许多与Droid-Watch相同的数据集,但具有限制因素,例如对特权提升的要求和缺乏企业存储和分析能力。它们也经常被归类为间谍软件,因为它们在用户不知情的情况下收集个人信息(瞻博网络,2012年)。
远程企业取证收集工具也试图提高企业安全性。谷歌快速响应(GRR)允许法医调查人员和事件响应人员通过网络从大量机器中取证(Cohen et al。,2011)。类似于GRR的商业解决方案是EnCase Enterprise,AccessData Enterprise,F-Response Enterprise Edition和Mandiant Intelligent Response。 EnCase Enterprise支持Android,而其他则不支持。上述远程取证工具与DroidWatch不同,因为它们不会持续收集和存储数据。相反,他们在运营商的指导下采取一次数据快照, DroidWatch代码可以用来扩展这些工具的功能。
3.2学术研究
几项学术努力已经塑造了这项研究工作。 Lee等人提出的一个系统使用位于安全数字卡(SDCard)上的Android应用程序,使用Android应用程序编程接口(API)将数据从智能手机快速提取到相同的SD卡上(Lee等,2009 )。这种收集数据的逻辑方法类似于DroidWatch,但它们的系统不会连续监视设备。但是,该工作确实可以突出显示可以在没有root权限的情况下获得的各种数据集。 AFLogical作为viaForensics的开源产品发布,采用了类似的方法。它还使用了专用的SD卡,并扩展了检索数据集的数量(Hoog,2010)。杨等人的后续工作。提出用SDCards替代云计算;然而,他们的研究还需要物理访问设备,而不是连续收集数据(Yang and Lai,2012)。
Villan等人的相关工作。描述了一款原生Android应用程序,该程序可在智能手机上执行类似于虚拟网络计算(VNC)的实时监控,而无需使用root权限(Villan和Esteve,2011)。研究涉及将用户的屏幕流式传输到远程位置以实现可用性目的(即用于企业帮助台),但这种观看用户屏幕的功能可以作为DroidWatch中的未来功能实现。
研究由Shields等人提出。推出了一种名为Proactive Object Fingerprinting and Storage(PROOFS)的法医获取和监控系统,该系统使用新颖的物体指纹识别方法(Shields et al。,2011)以连续,主
全文共12238字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[16337],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
