19 ago. 2016

RetroScope: herramienta forense para recuperar las últimas imágenes de un dispositivo Android

Imagina que un criminal tiene una conversación en Telegram con uno de sus contactos para facilitarle la dirección de recogida de cierta mercancía. Justo antes de enviar el mensaje que está escribiendo con la dirección, se da cuenta de que la policía le sigue y no lo manda, incluso borra todos los logs y cierra la sesión. Al rato la policía entra y confisca su smartphone y una hora después incauta la mercancía... ¿Cómo es posible que la policía supiera la dirección si no llegó a mandar el mensaje con la información?

Seguro que habéis pensado que el smartphone estaba troyanizado antes y las fuerzas de seguridad usaban un keylogger, pero no es el caso.
La policía usó la herramienta RetroScope, volcó la memoria del dispositivo y fue capaz de reconstruir las imágenes anteriores de forma similar a como se hizo en el siguiente video:
¿Impresionante verdad? La herramienta fue publicada por investigadores de la universidad Purdue de Indiana el pasado USENIX Security Symposium del 10-12 de agosto y usa el framework de renderizado de Android para recuperar las últimas imágenes de la memoria volátil con el comando redraw. Durante las demos fueron capaces de recuperar de 3 a 11 últimas imágenes de 15 aplicaciones diferentes. Sin duda un nuevo paradigma en la investigación forense de dispositivos móviles.

Proyecto: https://github.com/ProjectRetroScope/RetroScope

Fuente: Hackplayers

1 comentario:

  1. Es un gran aporte para la nueva era que estamos construyendo... el proyecto está muy interesante

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!