Documentos de Académico
Documentos de Profesional
Documentos de Cultura
So Paulo
2013
So Paulo
2013
AGRADECIMENTOS
A minha orientadora, Professora Dra. Maria Ins Lopes Brosso Pioltine, que me
guiou durante todo o desenvolvimento deste trabalho, me ajudando a manter o
foco na pesquisa proposta desde o seu incio.
RESUMO
Existem diversas tcnicas para percia forense em desktops e estas j esto
bastante difundidas. No entanto, no que se refere a computao pessoal o
cenrio mundial est em plena mudana. Cada vez mais pessoas deixam de
utilizar os tradicionais computadores pessoais e concentram suas atividades
em smartphones e tablets. Dentre os sistemas operacionais para dispositivos
mveis, o que vem mostrando o maior crescimento o Android, e por isso ele
o foco desta pesquisa. As tcnicas de forense digital conhecidas para telefones
celulares e desktops no so suficientemente especficas e detalhadas para
realizao de exames em dispositivos controlados pelo Android. O objetivo do
trabalho apresentar tcnicas de percia forense com mtodos especficos
para o sistema operacional Android. Para a apresentao destes mtodos de
percia forense, foram mapeadas situaes reais em que os peritos se
encontram durante os processos de extrao de dados. Ao final do trabalho foi
proposto um estudo de caso, no qual um smartphone com Android
propositalmente infectado com um trojan e este identificado atravs do uso de
algumas das tcnicas forenses apresentadas.
Palavras-chave: Android, Anlise Forense, Segurana, Mobile, Aquisio de
Dados, Smartphones.
ABSTRACT
There are several techniques for forensics on desktops and these are already
quite widespread. However, in regard to personal computers in the world
scenario is full change. More and more people stop using traditional personal
computers and focus their activities on smartphones and tablets. Among the
operating systems for mobile devices, which has shown the greatest growth is
Android, so it is the focus of this research. The digital forensic techniques
known for mobile phones and desktops are not sufficiently specific and detailed
examinations on devices controlled by Android. The objective is to present
forensic techniques with methods specific to the operating system Android. For
the presentation of these methods forensics were mapped actual situations in
which the experts are in the process of data extraction. At the end of the work
we propose a case study in which a smartphone with Android is purposely
infected with a trojan and this identified through the use of some of forensic
techniques presented.
Keywords:
Android,
Smartphones.
Forensics,
Security,
Mobile,
Data
Acquisition,
SUMRIO
CAPTULO 1.
INTRODUO ....................................................................... 14
OBJETIVO .......................................................................................... 15
1.3
MOTIVAO ....................................................................................... 15
1.4
JUSTIFICATIVA .................................................................................. 16
1.5
1.6
1.7
CAPTULO 2.
2.1
INTRODUO .................................................................................... 18
2.2
A PLATAFORMA................................................................................. 19
2.3
2.4
2.5
2.6
2.7
2.4.2
2.4.3
FAT32........................................................................................ 30
2.5.2
YAFFS2 ..................................................................................... 31
2.5.3
2.5.4
2.6.2
CAPTULO 3.
3.1
INTRODUO .................................................................................... 42
3.2
3.3
3.4
3.5
3.4.1
3.4.2
Criptografia de Dados................................................................ 50
3.5.2
3.6
3.7
MALWARE .......................................................................................... 53
CAPTULO 4.
4.1
INTRODUO .................................................................................... 55
4.2
4.3
4.4
4.5
4.6
4.4.1
4.4.2
4.4.3
4.5.2
4.6.2
4.6.3
CAPTULO 5.
5.1
INTRODUO .................................................................................... 73
5.2
5.3
5.2.1
5.2.2
5.2.3
CONCLUSO ..................................................................................... 80
CAPTULO 6.
6.1
CONCLUSO ........................................................................ 81
REFERENCIAS ................................................................................................ 83
LISTA DE TABELAS
Tabela 1 Vendas de Smartphones por SO no mundo (em milhares de
unidades).......................................................................................................... 19
Tabela 2 Distribuio das verses do Android .............................................. 21
Tabela 3 Comparao entre os tamanhos dos arquivos JAR e DEX ............ 24
Tabela 4 Data de disponibilizao do Android SDK ...................................... 24
Tabela 5 Localizao dos arquivos criados pelo AVD ................................... 27
Tabela 6 Estrutura do diretrio /data/data/<ApplicationPackageName> ....... 33
Tabela 7 Nveis de log ................................................................................... 37
Tabela 8 Opes de comando de linha do logcat ......................................... 38
Tabela 9 Tcnicas para isolar um dispositivo mvel da rede ........................ 63
Tabela 10 Parties e sistemas de arquivos ................................................. 67
LISTA DE FIGURAS
Figura 1 Assinantes da telefonia celular por ano no mundo. ......................... 14
Figura 2 Viso da arquitetura do SO Android ................................................ 19
Figura 3 Relao entre verso do Android em aparelhos em uso................. 21
Figura 4 - Java vs Dalvik .................................................................................. 23
Figura 5 AVD em execuo........................................................................... 26
Figura 6 Estrutura de diretrios criados pelo AVD ........................................ 27
Figura 7 Instalao do Android ADB Tools.................................................... 28
Figura 8 Ativao do modo de depurao no Android .................................. 29
Figura 9 Comando adb devices ..................................................................... 29
Figura 10 Comando adb shell ....................................................................... 30
Figura 11 Listagem do diretrio shared_prefs do aplicativo Phone ............... 33
Figura 12 Arquivo XML do tipo chave-valor................................................... 34
Figura 13 Listagem do diretrio data/data ..................................................... 34
Figura 14 Sada do comando dmesg ............................................................ 36
Figura 15 Sada do comando logcat .............................................................. 37
Figura 16 Sada do comando dumpsys ......................................................... 39
Figura 17 Sada do comando dumpstate ...................................................... 40
Figura 18 Listagem do diretrio do app Dropbox .......................................... 41
Figura 19 Visualizao do arquivo de logs do app Dropbox ......................... 41
Figura 20 Instalao dos Apps Google Maps e Gmail respectivamente ....... 44
Figura 21 Visualizao da permisso de acesso no Manifest.xml ................ 44
Figura 22 Restrio de acesso no Manifest.xml ............................................ 46
Figura 23 Aviso do Android sobre fontes desconhecidas .............................. 47
Figura 24 Tela de configurao de bloqueio do Android ............................... 49
Figura 25 Bloqueio de tela por cdigo pin, desenho de padro e senha
alfanumrica respectivamente.......................................................................... 49
Figura 26 Tela de opo para criptografar os dados do dispositivo .............. 50
Figura 27 Criptografia dos dados: telas de aviso e confirmao
respectivamente ............................................................................................... 51
Figura 28 Exemplo de configurao de conexo SSL/TLS ........................... 53
Figura 29 Foto mostrando a marca do pattern desenhado. .......................... 60
API
APP
Application Software
AVD
DVM
DiD
Defense in Depth
GC
Garbage Collection
GPL
GPS
GSM
HTML
IDE
JVM
MMC
MultiMedia Card
MMS
NDK
PC
Personal Computer
RAM
SDK
SIM
SMS
SO
Sistema Operacional
SQL
SSL
TLS
VM
Virtual Machine
UI
User Interface
USB
XML
YAFFS2
14
CAPTULO 1.
INTRODUO
1.1 INTRODUO
No mundo da telefonia pode-se dizer que os dez ltimos anos foram da
telefonia celular. O nmero de assinantes de telefones mveis no mundo inteiro
aumentou de 738 milhes em 2000 para quase seis bilhes em 2011, como
mostra o grfico da figura 1, e agora o nmero de assinantes da telefonia
celular ultrapassa o nmero de linhas telefnicas convencionais (ITU Statistics,
2011).
Nmero de Assinantes
6.000.000.000
5.000.000.000
4.000.000.000
3.000.000.000
Assinantes
2.000.000.000
1.000.000.000
0
Ano
Figura 1 Assinantes da telefonia celular por ano no mundo.
Fonte: (ITC Statistics, 2013).
15
Dentre esses dispositivos mveis, hoje, a maior parte deles vem com o sistema
operacional Android, do Google, instalado. E a cada nova verso, o sistema
adiciona novas funcionalidades para tirar proveito do hardware dos
dispositivos, que aumenta o poder de processamento a cada poucos meses. O
ultimo smartphone oficial do Google, Nexus 4, por exemplo, tem 2GB de
memria RAM integrada, processador quad-core de 1,5GHz e 16GB de
armazenamento interno. Isso somado a itens como: cmera, acelermetro,
GPS e suporte a conexes de rede sem fio, fazem do dispositivo muito mais do
que um celular, mas sim uma enorme fonte de informaes onde seus usurios
podem armazenar no apenas contatos telefnicos, mas tambm documentos
importantes atravs de servio de cloud computing, traar rotas com o servio
de GPS e publicar fotos de viagens famlia e outros.
Neste cenrio, a comunidade forense se depara com um grande desafio j que
as tcnicas de extrao de dados, j consolidadas para os desktops, no
funcionam para dispositivos com hardware especfico para o Android. Numa
anlise forense, medida que o nvel de compreenso sobre o sistema
operacional e seu hardware aumentam, novas tcnicas de manuseio e
extrao de informaes relevantes so desenvolvidas. Assim, um profundo
conhecimento do sistema operacional Android, onde as informaes nele so
salvas e quais informaes buscar, pode trazer dados muito teis e at
decisivos sobre o seu usurio.
1.2 OBJETIVO
O objetivo da pesquisa apresentar mtodos de percia forense para
dispositivos mveis com sistema operacional Android.
1.3 MOTIVAO
Descrever tcnicas de anlise forense em dispositivos mveis com Android. As
tcnicas de percia forense para desktops j so bastante difundidas e sua
aplicao a smartphones e tablets requer tcnicas diferentes. A extrao dos
dados ser feita de forma a obter todas as informaes possveis do
equipamento.
16
1.4 JUSTIFICATIVA
Nos ltimos 4 anos houve um aumento substancial no nmero de dispositivos
mveis com Android, a tal ponto que este se tornou a plataforma mvel mais
utilizada do mercado.
1.5 TRABALHOS RELEVANTES
A tese de mestrado Proposta de Mtodo para Anlise Pericial em Smatphone
com Sistema Operacional Android, de Andr Morum de Lima Simo publicada
em 2011 serviu como guia para este trabalho, nela so abordadas as
dificuldades tcnicas para a extrao de dados de smartphones Android alm
da proposta de uma metodologia para realizar essa recuperao de
informaes, onde so abordadas situaes reais encontradas pelos analistas
forenses.
O artigo publicado pela Digital Investigation, Android anti-forensics through a
local paradigma, publicado em 2010 por Alessandro Distefano, Gianluigi Mea e
Francesco Pace, onde algumas tcnicas para dificultar o acesso s
informaes dos dispositivos Android so apresentadas.
Android Forensics: Simplifying Cell Phone Examinations, artigo publicado pela
Edith Cowan University, de autoria de Jeff Lessard e Gary Kessler, publicado
em 2010, onde mais tcnicas para obteno de dados so apresentadas e
utilizadas de forma complementar neste trabalho.
1.6 METODOLOGIA DE PESQUISA
Para o desenvolvimento desta pesquisa optou-se, para uma primeira parte, por
uma pesquisa bibliogrfica sobre a plataforma Android.
1.7 ORGANIZAO DO TRABALHO
A pesquisa foi dividida em 6 (seis) captulos.
O captulo 1 apresenta o problema e a justificativa para o trabalho.
O captulo 2 mostra uma viso sobre o sistema operacional Android. Sua
histria, arquitetura, verses e funcionalidades.
17
18
CAPTULO 2.
2.1 INTRODUO
O Google planejando entrar no mercado de celulares com seus servios de
internet encontrou-se no impasse de no possuir uma plataforma para isso.
Ento em agosto de 2005 adquiriu a Android Inc. Aps um tempo sem notcias
anunciada, em 2007, a Open Handset Alliance, que coloca o Android
oficialmente no mundo Open Source. Em 2008 a verso 1.0 do SDK lanada,
assim como o primeiro celular com o sistema, o G1 da HTC. Em 2009, com o
lanamento das verses 1.5, 1.6 e 2.x, viu-se uma proliferao de dispositivos
que rodam o sistema. Em 2010, o Android j era o segundo sistema mais
utilizado em smartphones, atrs apenas do ento bem sucedido Blackberry
(Learning Android, 2011).
Quando o Google comprou a Android Inc, em 2005, o CEO na poca, Eric
Schmidt, deixou claro que a ambio do Google era muito maior do que ver o
sistema rodando em um simples telefone. A inteno da empresa e ver o
sistema rodando em todos os lugares e fazendo tudo, como o Google uma
empresa de media, quanto mais pessoas utilizarem os seus produtos, mais
fcil adicionar novos servios e propagandas junto com eles(Learning Android,
2011).
Atualmente o Google licencia alguns aplicativos proprietrios como Gmail e
Maps, e ganha algum dinheiro com o Google Play (Learning Android, 2011).
Desde o primeiro telefone com o sistema, lanado em 2008, at torna-se o SO
para dispositivos mveis mais utilizado, o nmero de usurios do sistema
Android continua a aumentar a cada ano.
A tabela 1 mostra os nmeros de vendas de smatphones a usurios finais por
sistema operacional em 2013. Por ela possvel ver a dominncia do sistema
da Google alm de um crescimento em relao ao ano anterior.
19
Tabela 1 Vendas de Smartphones por SO no mundo (em milhares de unidades)
Sistema
Operacional
Android
iOS
Microsoft
BlackBerry
Bada
Symbian
Outros
Total
Unidades
vendidas em
2013
177,898.2
31,899.7
7,407.6
6,180.0
838.2
630.8
471.7
225,326.2
Participao no
mercado
em
2013 (%)
79.0
14.2
3.3
2.7
0.4
0.3
0.2
100.0
Unidades
vendidas em
2012
98,664.0
28,935.0
4,039.1
7,991.2
4,208.8
9,071.5
153,772.9
Participao
no mercado
em 2012 (%)
64.2
18.8
2.6
5.2
2.7
5.9
0.6
100.0
2.2 A PLATAFORMA
O Android um SO (sistema operacional) construdo especificamente para
dispositivos mveis, ele tem como base o kernel do Linux. Ele inclui interface
grfica rica, aplicaes para o usurio final, bibliotecas, frameworks, suporte
multimdia entre outros. A figura 2 apresenta uma viso da arquitetura do SO.
20
esto
disponveis
gerenciadores
de
janela
(window
Uma caracterstica do Android que fica evidenciada pela figura acima que,
no existe diferena entre aplicaes nativas e as criadas por outros
desenvolvedores, j que os dois tipos utilizam as bibliotecas providas pela
Dalvik VM. Esse fato evidencia que qualquer desenvolvedor pode criar
aplicaes poderosas para o Android.
A tabela 2 e o grfico de pizza da figura 3 so baseados no nmero de
dispositivos com Android que acessaram o Google Play, em um perodo de 14
dias terminando em 4 de Maro de 2013.
21
Tabela 2 Distribuio das verses do Android
Verso
Codenome
Data de Lanamento
Cupcake
Donut
Eclair
Froyo
Gingerbread
9 de fevereiro de
2009
30 de abril de 2009
15 setembro 2009
30 de outubro 2009
20 de maio 2010
6 de dezembro 2010
1.0
1.1
1.5
1.6
2.1
2.2
2.3 2.3.2
2.3.3
2.3.7
3.1
3.2
4.0.3
4.0.4
4.1
4.2
4.3
4.4
API
Level
23 de setembro de 1
2008
Distribuio
2
3
4
7
8
9
10
22 de fevereiro de 12
2011
13
Ice
Cream 19 de outubro de 15
Sandwich
2011
Jelly Beans
9 de julho de 2012
16
Jelly Beans
13 de Novembro de 17
2012
Jelly Beans
24 de Julho de 2013
18
Kit Kat
31 de Outubro de 19
2013
1.7%
26.3%
Honeycomb
0.1%
19.8%
37.3%
12.5%
2.3%
22
23
24
Tabela 3 Comparao entre os tamanhos dos arquivos JAR e DEX
Cdigo
Bibliotecas do
Sistema
App de navegador
web
App de alarme
relgio
470,312 (100%)
232,065 (49%)
209,248 (44%)
119,200 (100%)
61,658 (52%)
53,020 (44%)
Plataforma Android
API Level
Data de Lanamento
4.4
19
31 de Outubro de 2013
4.3.1
18
24 de Julho de 2013
4.2.2
17
11 de Fevereiro de 2013
4.1.2
16
9 de Outubro de 2012
4.0.4
15
29 de Maro de 2012
25
26
27
Tabela 5 Localizao dos arquivos criados pelo AVD
Sistema
Operacional
Diretrio da AVD
Ubuntu Linux
/Users/<username>/.android
Windows 7
C:\Users\<username>\.android\avd\android422.avd
28
29
30
root
root
cache
root
root
root
system
root
root
system
system
root
root
root
root
121
125024
39349
10031
31
/mnt/sdcard
/mnt/secure/asec
/mnt/emmc
32
Correo de erros
A partio do sistema /system/: onde ficam as aplicaes prinstaladas, bibliotecas, Linux kernel, Android framework e etc.
33
Tabela 6 Estrutura do diretrio /data/data/<ApplicationPackageName>
Nome do diretrio
Descrio do contedo
shared_prefs
lib
files
cache
databases
Na tabela 6 esto listados os diretrios principais que todo App passa a ter
aps a sua instalao.
2.5.4 Formas de Persistncia de Dados
O Android prov aos desenvolvedores cinco formas de armazenar informao:
Preferencias compartilhadas
Armazenamento interno
Armazenamento externo
SQLite
Network
34
shell@android:/ #
android.phone_preferences.xml
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
<string name="sim_iccid_value_key">89550311000182749434</string>
</map>
android.phone_preferences.xml
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
Figura
12 name="sim_iccid_value_key">89550311000182749434</string>
Arquivo XML do tipo chave-valor
<string
</map>
Fonte:
O Autor.
<
<
02:09
02:09
01:54
20:36
20:35
00:34
20:37
20:35
20:37
20:37
20:35
20:37
20:37
20:37
br.com.jr3
ch.smalltech.ledflashlight.free
com.adobe.reader
com.android.LGSetupWizard
com.android.backupconfirm
com.android.bluetooth
com.android.browser
com.android.calculator2
com.android.calendar
com.android.cellbroadcastreceiver
com.android.certinstaller
com.android.chrome
com.android.contacts
com.android.defcontainer
35
java.net.*
android.net.*
36
37
logcat
Uma ferramenta bastante til para anlise das atividades do Android logcat.
Com ela possvel visualizar os logs de atividades num fluxo constante, uma
pequena amostra das informaes providas pela ferramenta pode ser vista a
seguir (Android Forensics, 2011):
ahoog@ubuntu:~$ adb shell logcat
I/HtcLocationService( 308): agent - search location by name: oak park, country:
united states, state: illinois
I/HtcLocationService( 308): agent - no location was found, total: 0
D/AutoSetting( 308): service - CALLBACK - onGetTimeZoneOffset, result: failed,
zoneId: , offset: 0
D/LocationManager( 308): removeUpdates: listener =
com.htc.htclocationservice.HtcLocationServiceAgent$7@45dfc770
V/AlarmManager( 97): Adding Alarm{463aea28 type 2 com.google.android.location}
Jan 05 05:05:25 pm
I/HtcLocationService( 308): agent - send current location notify intent, name:
Oak Park, state: Illinois, country: United States, lat: 41.8786, lng:
-87.6359,tzid:
Nesta sada, exibida na figura 15, possvel obter informaes como longitude
e latitude, informaes de data e hora e detalhes dos apps em execuo. Cada
linha de log comea com uma letra que descreve seu nvel. A tabela abaixo
mostra a relao entre as letras e os nveis de log:
Tabela 7 Nveis de log
Nvel de Log
V
D
I
W
E
F
S
Descrio
Verboso
Debug
Informao
Aviso
Erro
Fatal
Silent
38
Tabela 8 Opes de comando de linha do logcat
Opo
-b <buffer
-c
-d
-f <filename>
-g
-n <count>
-r <kbytes>
-s
-v <format>
Descrio
Carrega um buffer alternativo para visualizao de
logs de evento e radio.
Limpa e descarrega todo o log.
Faz o dump do log no instante atual
Escreve a sada do log no arquivo passado como
parmetro. O padro o prompt
Imprime o tamanho do log
Configura o nmero mximo de mudana do log.
Muda o buffer de log a cada <kbytes>
Configura o filtro padro para silente
Configura o formato da sada do log. O padro o
formato brief.
dumpsys
Outra ferramenta de anlise de logs a dumpsys. Com ela possvel obter
informaes a cerca de servios em execuo, utilizao da memria e outros
detalhes do sistema. A figura 16 mostra a sada (editada por questes de
espao) do comando dumpsys executada em um LG Optimus Black (P970)
com a verso 4.0.4 do Android (Android Forensics, 2011):
39
luffy@ubuntu:~$ adb shell dumpsys
Currently running services:
Bridges
SUPL_SERVICE
SurfaceFlinger
WifiExtHMService
accessibility
account
------------------------------------------------------------------------------DUMP OF SERVICE accessibility:
------------------------------------------------------------------------------DUMP OF SERVICE account:
Accounts: 4
Account {name=Phone, type=com.lge.sync}
Account {name=valdemirvjr@gmail.com, type=com.facebook.auth.login}
Account {name=valdemirvjr@gmail.com, type=com.dropbox.android.account}
Account {name=valdemirvjr@gmail.com, type=com.google}
Active Sessions: 0
** MEMINFO in pid 1716 [com.gtp.nextlauncher.liverpaper.honeycomb] **
Shared Private
Heap
Heap
Heap
Pss
Dirty
Dirty
Size
Alloc
Free
------------------------------Native
1900
1296
1852
16812
14599
248
Dalvik
2758
11460
2364
13447
10078
3369
Cursor
0
0
0
Ashmem
2
4
0
Other dev
10321
376
780
.so mmap
670
2148
416
.jar mmap
0
0
0
.apk mmap
0
0
0
.ttf mmap
0
0
0
.dex mmap
176
0
0
Other mmap
221
8
28
Unknown
6758
4532
6604
TOTAL
22806
19824
12044
30259
24677
3617
Servios em execuo
O que til para determinar no apenas qual servio est executando mas
tambm qual database ele usa.
dumpstate
O comando de debug dumpstate combina partes dos comandos apresentados
com informaes do sistema. A sintaxe e a sada (editada por questes de
espao) do comando executado em um LG Optimus Black (P970) com a
verso 4.0.4 do Android so apresentadas na figura 17:
40
shell@android:/ # dumpstate
========================================================
== dumpstate: 2013-10-13 20:45:20
========================================================
Build: IMM76L.P970h30a-SCA-XXX.4DAB73BC
Bootloader: unknown
Radio: unknown
Network: TIM 11
Kernel: Linux version 3.0.8 (elisandro.vidotto@openos-ubuntu) (gcc version 4.4.1
(Sourcery G++ Lite 2010q1-202) ) #1 PREEMPT Fri Mar 8 19:45:35 BRT 2013
Command line: rs=s mem=512M init=/init videoout=omap24xxvout
omap_vout.video1_numbuffers=6 omap_vout.vid1_static_vrfb_alloc=y vram=16M
omapfb.vram=0:5M lpj=2334720 fuelgauge=g androidboot.hardware=blackg muic_state=0
thermal_fakemode=0 CRC=0x8dd118f7
------ UPTIME (uptime) -----up time: 06:55:22, idle time: 06:25:10, sleep time: 00:00:00
[uptime: 0.1s elapsed]
------ MEMORY INFO (/proc/meminfo) -----MemTotal:
447856 kB
MemFree:
11760 kB
Buffers:
2372 kB
Cached:
60876 kB
SwapCached:
0 kB
Active:
317140 kB
Inactive:
32636 kB
Active(anon):
289284 kB
Inactive(anon):
360 kB
Active(file):
27856 kB
Inactive(file):
32276 kB
------ CPU INFO (top -n 1 -d 1 -m 30 -t) ------
O comando precisa ser executado ser executado como root, caso contrrio
no mostrar todas as sadas possveis. A sada do comando dividida em
vrias sesses, como registro de atividades das aplicaes, informaes sobre
o dispositivo, rede, kernel e outros.
2.6.2 Logs dos Apps
Alm dos logs gerados pelo Kernel do Linux e pelo prprio Android, os
desenvolvedores de aplicativos tambm costumam adicionar a suas aplicaes
a capacidade de gerar os seus prprios arquivos de logs. Esses arquivos so
bastante teis quando h necessidade de obter informaes sobre um app
especfico.
Um dos servios de armazenamento de dados em uma plataforma de Cloud
Computing mais utilizados Dropbox. A estrutura de seu diretrio
apresentada na figura 18:
41
ahoog@ubuntu:~/htc-inc/data/data$ tree com.dropbox.android/
com.dropbox.android/
databases
db.db
files
log.txt
lib
shared_prefs
DropboxAccountPrefs.xml
A partir do seu contedo possvel concluir que houve uma tentativa bem
sucedida de autenticao e pelo resto do log (no mostrado acima), possvel
ver que o servio foi interrompido por uma chamada telefnica (Android
Forensics, 2011).
2.7 GOOGLE PLAY
O Google Play nasceu da unificao entre Google Music, Google Books Store
e o Android Marketplace. Este ltimo, tinha o objetivo de prover um canal
seguro para os usurios do sistema instalarem seus aplicativos (Learning
Android, 2011).
O Google Play (Android Marketplace) em si um aplicativo. Por ele possvel
obter informaes e atualizaes dos aplicativos. O Google tornou o processo
de publicao de apps bastante simples. Para disponibilizar um aplicativo no
Google Play, sendo uma empresa ou desenvolvedor autnomo, preciso: criar
uma conta de desenvolvedor no Google, pagar uma taxa e concordar com os
termos de servio (Hashimi, Komatineni, 2010).
42
CAPTULO 3.
3.1 INTRODUO
Nas iteraes entre aplicaes clientes e servidoras a segurana no fica
restrita apenas a rede como configurao de firewall, deteco de intrusos,
antivrus e outros. Os desenvolvedores de aplicativos tambm devem tomar
todas as medidas para tornar os seus aplicativos seguros na transmisso e
armazenamento local de informaes de seus usurios (Applications Security
for the Android Platform Processes, 2012).
A arquitetura do Android j promove um modelo de segurana mais forte do
que o convencional (que atribui a aplicao o mesmo nvel de acesso do
usurio que a instalou) e, no campo da anlise forense, conhecer os
mecanismos de segurana existentes e os que precisam ser implementados,
bem como os mtodos para burlar esses bloqueios so de grande
importncia para a obteno de dados e posterior anlise.
3.2 PERMISSO POR APLICAO
Nos sistemas operacionais para desktops as aplicaes executam sob a conta
do usurio que as iniciou, e recebe o mesmo nvel de acesso daquela conta de
usurio. Outra caracterstica que todos os aplicativos executados por uma
conta de usurio tem o mesmo nvel de acesso as APIs do sistema, assim um
editor de texto e um aplicativo de mensagens instantneas tero o mesmo nvel
de acesso a uma conexo internet porque executam sob o mesmo UID. Se o
usurio tem acesso total ao sistema, seus aplicativos tambm o tero. Esta a
principal caractersticas dos SOs para desktops: aplicativos recebem o mesmo
nvel de acesso ao sistema que o usurio que os executou (Applications
Security for the Android Platform Processes, 2012).
No Android, visando segurana do usurio a modelo de permisses
diferente. Antes de uma aplicao ser instalada verificada a assinatura digital
do desenvolvedor que, diferente do SSL, no precisa de uma Autoridade
Certificadora, mas o desenvolvedor precisa manter a chave segura,
principalmente nos casos de apps bancrios. Nesses casos, se chave fosse
publicada, um update do aplicativo, feito por uma pessoa mal intencionada e de
43
44
45
46
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.me.app.myapp" >
<permission android:name="com.me.app.myapp.permission.DEADLY_ACTIVITY"
android:label="@string/permlab_deadlyActivity"
android:description="@string/permdesc_deadlyActivity"
android:permissionGroup="android.permission-group.COST_MONEY"
android:protectionLevel="dangerous" />
...
</manifest>
Figura 22 Restrio de acesso no Manifest.xml
Fonte: (Android Developers, 2013).
ao
pacote
com.me.app.myapp.permission.
atributo
47
sistema
mas
existem
outras
formas
de
acessar
informaes
48
desejada conseguir acesso de root (tarefa no muito difcil). Esse modo prov
acesso irrestrito ao sistema e a memria.
Com base no exposto acima, seguir o Princpio do Privilgio Mnimo
(armazenando apenas as informaes necessrias para o funcionamento do
app), configurando as permisses corretamente (assim outros apps no tero
acesso as informaes em tempo de execuo do sistema), e criptografando
os dados (em caso de acesso off line as informaes, o atacante no poder
fazer nada) so conhecido como Defense in Depth (DiD) (Applications Security
for the Android Platform Processes, 2011).
3.4 PROTEO DOS DADOS NO ANDROID
Como foi visto antes, cada app no Android executa sob sua prpria conta de
usurio. Isto evita que uma aplicao tenha acesso s informaes de outra.
Esta proteo oferecida pelo sistema geralmente no suficiente, de modo que,
as informao de autenticao de um app de sistema bancrio, que esto
armazenadas, precisam estar criptografadas para oferecer uma proteo
adicional.
3.4.1 Bloqueio de Tela
O Android oferece algumas protees bsicas contra o acesso no autorizado
as informaes do sistema, a primeira barreira o bloqueio de tela. O sistema
oferece algumas opes para isso como: reconhecimento facial, desenho de
um padro, cdigo PIN (cdigo numrico de4 dgitos) ou senha alfanumrica. A
segurana aumenta nesta ordem.
49
Figura 25 Bloqueio de tela por cdigo pin, desenho de padro e senha alfanumrica
respectivamente.
Fonte: O Autor (utilizando o AVD verso para Windows).
Pela figura 25 vemos que o cdigo pin se trata de uma combinao numrica
de quatro nmeros (de 0 a 9) que podem se repetir, em um total de 10.000
combinaes possveis, um bloqueio muito fraco. O pattern lock se trata de
desenho onde possvel uma combinao de at nove posies, sendo que
50
51
Um dos riscos envolvidos nesta operao o fato dela ser irreversvel, assim
se o processo for interrompido na metade ou por falta de bateria ou porque o
usurio mudou de ideia os dados sero perdidos.
52
53
ou
HttpsURLConnection urlConn = new HttpsURLConnection("https://clientaccess.example.com");
Aplicaes Web precisam de muito cuidado com os dados enviados a elas pois
aceitar dados que no fazem parte do conjunto esperado configura uma brecha
de segurana e pode trazer diversos danos aplicao servidora, como SQL
injection, cross-site scripting attacks e explorao de buffer overflow, por
exemplo. Aplicaes cliente como as do Android no suscetveis a estas falhas
mas no esto imunes a elas.
54
internet e GPS. Com isso, era apenas uma questo de tempo para que os
hackers dirigissem sua ateno para esses dispositivos(Android Malware
Exposed, 2012).
Outra razo para atacar smartphones Android que o fato dos usurios terem
mais informaes pessoais salvas nele do que em um PC. Quando um usurio
se autentica no servio de e-mail ou no Facebook atravs do smartphone ele
no precisar mais repetir o processo porque sua senha est salva no
dispositivo. Essa funcionalidade conveniente no apenas para os usurios
mas tambm para os hackers que estaro atrs desta informao (Android
Malware Exposed, 2012).
O primeiro malware para Android foi descoberto em 2010, desde ento a
empresa de segurana Webroot j identificou mais de 13000 exemplos de
malware para o Android. Sendo o Android desenvolvido sobre o kernel do
Linux, ele cria um usurio e grupo Linux para cada aplicao, como j
explicado, a fim de impedir o acesso dos dados de uma aplicao por outra.
Sendo assim, a forma de uma aplicao ter acesso s informaes de login do
usurio no Facebook ou ao servio de SMS do dispositivo se o usurio
permitir no momento da instalao, e nesse iterao com o usurio que a
maior parte dos malwares ataca (Android Malware Exposed, 2012).
55
CAPTULO 4.
FORENSE DIGITAL NO ANDROID
4.1 INTRODUO
A plataforma mvel Android cresceu rapidamente desde o lanamento, em
Outubro de 2008, at torna-se o sistema operacional mvel mais popular no
inicio de 2011. Contudo, os analistas forenses e engenheiros de segurana tm
lutado contra a falta de ferramentas e tcnicas para investigar os dispositivos
com esse sistema (Android Forensics, 2011). Existem tcnicas e abordagens
muito bem documentadas e difundidas para telefones celulares e desktops,
mas essas tcnicas no se aplicam em sua totalidade quando associadas a
exames de smatphones, uma vez que nesses dispositivos, as solues de
hardware e software so minimalistas e o sistema operacional possui suporte
utilizao de memrias internas cuja remoo ou espelhamento so
procedimentos considerados invasivos e com maior grau de complexidade,
devido s dificuldades de acesso direto ao hardware. Alm disso, os
dispositivos possuem caractersticas especficas para cada verso e fabricante
do hardware (Aquisio de Evidncias Digitais em Smatphones Android, 2011).
56
dispositivo do que com outras pessoas. Simplesmente por acreditarem que ele
seguro (Android Forensics, 2011).
Mesmo o Android sendo lembrado pelos smartphones e tablets, atualmente
existem vrios dispositivos que rodam o sistema ou iro faz-lo em um futuro
prximo. E tanto a forense de dispositivos mveis como do prprio Android tem
diversos desafios: na forense digital um princpio fundamental prevenir
qualquer modificao no dispositivo pelo examinador. Isso simples em discos
rgidos que podem ser desligados, conectados a outro equipamento e ento
fazer uma imagem do mesmo. Mas no caso dos smartphones qualquer iterao
com o dispositivo ir alter-lo de alguma forma e, nesse caso, os examinadores
devero explicar como ele foi modificado e por que. Este captulo apresenta
tcnicas forenses para aquisio de dados de dispositivos com Android.
4.2 TIPOS DE INVESTIGAO
A primeira situao a julgada num tribunal criminal. Nesta situao existem
algumas consideraes:
Cadeia de custodia
Auditoria de segurana
57
Divorcio
Custdia de crianas
Disputa de propriedades
executado
no
terminal.
Navegando
at
opo
58
59
60
61
62
Caso no seja possvel ativar o modo avio por caso do bloqueio do aparelho,
por exemplo, e caso esse seja um telefone GSM, possvel remover o chip do
aparelho se isso tambm no for possvel, suspender a conta (nmero
63
Mtodo
Vantagens
Colocar o dispositivo O dispositivo continua
mvel em modo avio.
executando e mantem
intactas as informaes
na
memria
voltil.
Desabilita as conexes
do dispositivo mvel
como
wi-fi,
3G,
bluetooth.
Remover o carto SIM.
Fcil de remover. Efetivo
em
desabilitar
transmisses de voz,
SMS e dados.
Suspender a conta com Efetivo em desabilitar
a operadora.
transmisses de voz,
SMS e dados.
Colocar o dispositivo Interrompe todas
dentro de uma gaiola de conexes de rede.
faraday.
Desligar o dispositivo
Interrompe todas
conexes de rede.
Desvantagens
Modifica
as
configuraes
do
aparelho.
Funciona
apenas se o analista
tiver acesso total ao
dispositivo.
No
desabilita wi-fi,
bluetooth e outras redes.
Funciona apenas com
telefones GSM.
Requer tempo (mandato
judicial). No desabilita
wi-fi, bluetooth e outras
redes.
as Rpido consumo da
bateria em funo das
retentativas
de
restabelecer
as
conexes, por parte do
aparelho. No possvel
inserir um cabo de
energia na bolsa.
as Modifica a memria
voltil do dispositivo.
Pode habilitar o bloqueio
de
tela
na
reinicializao.
No caso da Gaiola de Faraday, o ideal seria uma sala com o mesmo tipo de
proteo contra redes externas onde haveria como fornecer cabo alimentao
ao dispositivo, mas os custos para construir e manter uma sala dessas so
muito altos (Android Forensics, 2011).
64
Electronics, Inc.
Miscellaneous Device
?
Interface Association
LG Electronics, Inc.
LGE
LG Android
7DF600229FFC0000016395910A01600F
65
ADB Pull
O comando adb pull copia recursivamente uma parte desejada do sistemas de
arquivos. Porm, como j dito, as partes mais importantes do sistema de
arquivo so visveis apenas ao root. Mas, mesmo sem acesso de super usurio
possvel extrair informaes relevantes da memria interna e do SDCard. A
figura 31 mostra um exemplo de tentativa de obter o contedo do diretrio
/data, que est visvel apenas acesso root, com um shell de usurio comum
(Android Forensics, 2011):
luffy@ubuntu:~$ adb pull /data data/
pull: building file list...
0 files pulled. 0 files skipped
66
apagadas,
apenas
no
so
listadas.
Remov-las
67
Local de Montagem
/proc
Sistema de Arquivos
proc
/data/data
YAFFS2
/cache
YAFFS2
/app-cache
tmpfs
/mnt/sdcard
vfat
/mnt/emmc
vfat
/data/local
YAFFS2
/data/misc
YAFFS2
Relevncia
metadados e estatsticas
do sistema de arquivos
Contem os dados de
todas as aplicaes
Arquivos de cache do
sistema
Sistema de arquivos de
cache.
Sistema de arquivos do
carto removvel
Memria
interna
dedicada ao usurio
Permite leitura e escrita
para usurios no root
num shell adb
Dados de bluetooth,
dhcp, wi-fi, vpn e outros.
68
uma
anlise
mais
profunda
de
arquivos
apagados
ou
69
ahoog@ubuntu:~$ hexeditor mmssms.db
File: mmssms.db ASCII Offset: 0x00000000 / 0x00077FFF
00000000 53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33
00000010 04 00 01 01 00 40 20 20 00 00 24 4A 00 00 00
00000020 00 00 00 00 00 00 00 00 00 00 00 3C 00 00 00
00000030 00 00 00 00 00 00 00 18 00 00 00 01 00 00 00
00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000060 00 00 00 00 05 00 00 00 17 03 8D 00 00 00 00
00000070 03 FB 03 F6 03 F1 03 EC 03 E7 03 E2 03 DD 03
00000080 03 D3 03 CE 03 C9 03 C4 03 BF 03 BA 03 B5 03
00000090 03 AB 03 A6 03 A1 03 9C 03 97 03 92 03 8D 00
000000A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
000000B0 00 00 00 00 00 00 00 00 00 00 00 00 00 04 81
000000C0 03 07 17 15 15 01 81 7B 74 61 62 6C 65 61 64
000000D0 72 61 64 64 72 05 43 52 45 41 54 45 20 54 41
(%00)
00 SQLite format 3.
00 .....@ ..$J....
01 ...........<....
3C ...............<
00 ................
00 ................
45 ...............E
D8 ................
B0 ................
00 ................
00 ................
0C ................
64 .......{tableadd
42 raddr.CREATE TAB
Na figura 35, a sada do editor hexadecimal executado sobre uma base SQLite
de um App Android.
SQLite3
Uma vez que os APPs Android armazenam suas informaes em bases
SQLite, conveniente ter instalado a ferramenta sqlite3 no ubuntu.
ahoog@ubuntu:~$ sqlite3 mmssms.db
SQLite version 3.6.22
Enter ".help" for instructions
Enter SQL statements terminated with a ";"
sqlite> .tables
addr
incoming_msg
sms
android_metadata
incoming_msg_v2 sr_pending
attachments
part
threads
canonical_addresses
pdu
threads_list
cbch
pending_msgs
words
drm
qtext
words_content
htcmsgs
rate
words_segdir
htcthreads
raw words_
segments
Na figura 36, a listagem das tabelas de uma base com a ferramenta sqlite3.
4.6.2 Anlise Forense das Parties SDCard e eMMC
Arquivos multimdia, fotos, dados de aplicativos, msicas, backup de arquivos
so todos exemplos de informaes recuperveis a partir do carto de
memria. E no apenas arquivos encontrveis mas tambm informaes
apagadas, cache de aplicaes apk baixados. Alm disso, o SDCard pode ser
montado como dispositivo de armazenamento externo a um PC e qualquer tipo
de arquivo pode ser transferido ele (Android Forensics, 2011).
70
Apps no SDCard
Com o objetivo de liberar espao na memria interna do dispositivo, possvel
mover um aplicativo para o SDCard (o app deve ter suporte para esta ao).
Como j dito, o diretrio dos aplicativos o /data/data, onde os dados do
usurio esto salvos. Como na imagem abaixo, desde que a aplicao suporte
esta operao, basta clicar sobre o boto Move to SD card para mover um
aplicativo para a partio do usurio.
e acessvel ao sistema em
71
emmc
asec
secure
sdcard
Figura
38 Listagem
do diretrio19192832
/mnt
----rwxr-x
system sdcard_rw
2011-02-15 05:17 com.rovio.angrybirds-1.
asec (Android Forensics, 2011).
Fonte
# ls -l /data/data/com.rovio.angrybirds
app_106
app_106
2011-02-15 05:14 cache
app_106
app_106
2011-02-15 05:15 files
drwxr-xr-x system
system
2011-02-15 05:14 lib
drwxrwx--x
nonmedia
drwxrwx--x
72
73
CAPTULO 5.
ESTUDO DE CASO
5.1 INTRODUO
A fim de demonstrar o uso das tcnicas e ferramentas de extrao e anlise de
dados apresentadas ao longo deste trabalho, foi proposta a utilizao destas
em uma situao encontrada pelos analistas forenses.
Um smartphone LG Optimus Black (P970) foi propositalmente infectado com o
malware Zitmo Trojan para identificao e anlise do mesmo utilizando as
tcnicas e ferramentas apresentadas no captulo anterior. A anlise do
malware, aps sua extrao, foi realizada em desktop com a verso 13.04 do
Linux Ubuntu.
5.2 METODOLOGIA DE ANLISE PROPOSTA
A metodologia de apreenso e extrao de dados do dispositivo Android uma
verso adaptada e simplificada da tese de mestrado de Andr Morum (Mtodo
para Anlise Pericial em Smartphone com Sistema Operacional Android, 2011).
A esta verso, acrescenta-se a fase de anlise dos dados obtidos atravs das
tcnicas e ferramentas apresentadas durante este trabalho. O diagrama a
seguir exemplifica o mtodo proposto para este estudo de caso.
Na figura so apresentados dois cenrios: telefone com o sistema Android com
e sem root e os respectivos procedimentos a serem adotados pelo analista em
cada caso. A partir deste mtodo, possvel obter o mximo de informaes do
dispositivo mvel, de maneira a documentar, resguardar e processar a
evidncia da forma mais segura e menos intrusiva possvel (Aquisio de
Evidncias Digitais em Smartphones Android, 2011).
Para anlise dos fatos que identificam a existncia do malware foi utilizada
como base o artigo da Kindsight Security Labs cujo tema anlise do trojam
Zitmo para o AndroidOS.
74
Obter relatos do
usurio sobre
comportamento
suspeito
Telefone ligado?
no
no
possvel extrair
dados do
carto?
sim
Extrair dados do
carto de memria
e substituir o carto
Ligar telefone
no
possvel isolar
fisicamente a
rede?
sim
Isolar rede
Telefone
bloqueado?
no
Ativar o modo de
depurao
sim
sim
sim
Ligar telefone
Espelhar parties
do sistema
Extrair informaes
do sistema
acessveis (dmesg,
dumpsys, logcat)
Extrair dados do
carto de memria
e avaliar sua
substituio
Listar aplicativos
instalados
no
Listar o app e
analisar o IP de
destino
sim
Informaes
pessoais
interceptadas?
Simular o envio de
informaes por
SMS e outras
conexes
Extrair o arquivo
APK e instalar numa
AVD (sandbox)
no
sim
Desempacotar com
o APKTools
Coverter o
classes.dex em jar
com a ferramenta
dex2jar
Descompilar o jar e
suas classes com JDGUI
Analisar o cdigo
fonte e arquivos
XML do APP
no
Malware
encontrado?
sim
Concluir
75
76
Como pode ser visto na figura 40, uma das permisses requisitadas pelo
aplicativo o acesso as mensagens SMS. Comparando os processos em
execuo depois da instalao notado o novo processo em execuo:
USER
root
app_9
app_120
app_25
app_0
app_1
app_1
app_37
PID
PPID VSIZE RSS
1
0
816
464
2473 10636 288576 29148
3634 10636 326220 71196
8426 10636 311072 51588
9134 10636 312908 38748
9186 10636 318672 37576
9198 10636 309268 33436
9315 10636 293616 31792
WCHAN
ffffffff
ffffffff
ffffffff
ffffffff
ffffffff
ffffffff
ffffffff
ffffffff
PC
00000000
00000000
00000000
00000000
00000000
00000000
00000000
00000000
S
S
S
S
S
S
S
S
NAME
/init
com.android.mms
com.lge.launcher2
com.nullsoft.winamp
com.whatsapp
com.google.process.location
com.google.android.gms
com.systemsecurity6.gms
77
Pela figura 43, aps o envio de uma mensagem SMS ao AVD, atravs de uma
conexo telnet, houve o envio de uma requisio a um servidor desconhecido,
portanto, o aplicativo suspeito e deve ser analisado.
5.2.3 Engenharia Reversa e Anlise do Arquivo APK
luffy@ubuntu:~/Downloads/Zitmo_tr_ECBBCE17053D6EAF9BF9CB7C71D0AF8D$ ll
total 56
drwxrwxr-x 4 luffy luffy 4096 Nov 3 20:07 ./
drwxr-xr-x 6 luffy luffy 4096 Nov 3 20:08 ../
-rw-rw-r-- 1 luffy luffy 2736 Mai 29 2011 AndroidManifest.xml
-rw-rw-r-- 1 luffy luffy 7660 Mai 29 2011 classes.dex
drwx------ 2 luffy luffy 4096 Nov 3 20:07 META-INF/
drwx------ 6 luffy luffy 4096 Nov 3 20:07 res/
-rw-rw-r-- 1 luffy luffy 1800 Mai 29 2011 resources.arsc
78
O arquivo APK um zip, de modo que aps ser descompactado possvel ver
o seu contedo na figura 44:
APK,
pois
eles
foram
criptografados
durante
O resultado uma pasta com o mesmo nome do arquivo apk com a mesma
estrutura apresenta na descompactao. Agora possvel visualizar e analisar
os arquivos XML, mas para ver o cdigo propriamente dito do aplicativo,
preciso outra ferramenta, a dex2jar, para converter o arquivo classes.dex em
um jar, como na figura 46:
79
luffy@ubuntu:~/Downloads$ dex2jar-0.0.9.15/dex2jar.sh
Zitmo_tr_ECBBCE17053D6EAF9BF9CB7C71D0AF8D/classes.dex
this cmd is deprecated, use the d2j-dex2jar if possible
dex2jar version: translator-0.0.9.15
dex2jar Zitmo_tr_ECBBCE17053D6EAF9BF9CB7C71D0AF8D/classes.dex ->
Zitmo_tr_ECBBCE17053D6EAF9BF9CB7C71D0AF8D/classes_dex2jar.jar
Done.
80
81
CAPTULO 6.
CONCLUSO
82
NAND
largamente
utilizado
em
dispositivos
Android.
83
REFERENCIAS
A Castilho, Carlos. Android Malware Past, Present, and Future. Mobile Security
Working
Group
McAfee.
Disponvel
em:
<
Acesso
em
15
de
Outubro
de
2010.
Disponvel
em:
<
http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_eviden
ce.pdf>.
Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, and Jonathan M.
Smith. Smudge Attacks on Smartphone Touch Screens. 21 de Fevereiro de
2011.
Disponvel
em:
<
https://www.usenix.org/legacy/event/woot10/tech/full_papers/Aviv.pdf>.
Bornstein, D. Dalvik VM Internals. 2008 Google I/O Session 2008. Disponvel
em: <https://sites.google.com/site/io/dalvik-vm-internals>. Acesso em: 31 de
maro de 2013.
Business
Week,
Bloomberg.
2005.
Disponvel
em
<
Disponvel
em:
<https://www.kindsight.net/sites/default/files/Android-
Disponvel
em:
84
<http://davidehringer.com/software/android/The_Dalvik_Virtual_Machine.pdf>.
Acesso em 31 de maro de 2013.
Gadhavi, B. Analysis of the Emerging Android Market. The Faculty of the
Department of General Engineering, Sam Jose State University.
Gargenta, Marko. Learning Android. First Edition. Sebastopol, CA: OReilly
Media Inc, 2011.
Gartner, Inc. Gartner Says Smartphone Sales Grew 46.5 Percent in Second
Quarter of 2013 and Exceeded Feature Phone Sales for First Time. Disponvel
em: <http://www.gartner.com/newsroom/id/2573415>. Acessado em: 13 de
Outubro de 2013.
Google Inc. Android Fundamentals. Android Developers, 2013. Disponvel em:
<http://developer.android.com/guide/topics/connectivity/index.html>.
Acesso
85
Morum de L Simo, Andr; Scoli, Fbio Cas; Peotta de Melo, Laerte; Deus,
Flvio Elias de; Sousa Jnior, Rafael Timteo. Aquisio de Evidncias Digitais
em Smatphones Android. Universidade de Braslia, Braslia, pp 92-99, Outubro
de 2011.
SQLite
Documentation.
SQLite,
2013.
Disponvel
em: