Mobile forensics: seguire le tracce nascoste nello smartphone

La mobile forensics è il ramo della digital forensics dedicato all’acquisizione e all’analisi dei dati presenti nei dispositivi mobili. Poiché questi dispositivi sono ormai centrali non solo nella vita privata, ma anche in quella professionale e aziendale, il loro utilizzo sempre più diffuso nella quotidianità sta rendendo la mobile forensics un elemento di crescente rilievo all’interno delle indagini digitali.

Metodologia e tecniche della mobile forensics

Un’indagine di mobile forensics si compone di quattro fasi principali.

  • Sequestro ed isolamento del dispositivo: in questa prima fase, di fondamentale importanza per evitare l’alterazione delle evidenze, inizia la documentazione della catena di custodia. 
  • Acquisizione: è la fase in cui, attraverso l’uso di varie tecniche, viene creata la copia forense dei dati presenti sul dispositivo mobile. Tra le principali tecniche di acquisizione troviamo l’estrazione logica, che copia file e cartelle accessibili tramite il sistema operativo del dispositivo, ma che potrebbe non recuperare dati eliminati o dati nello spazio non allocato; l’estrazione fisica, attraverso cui si crea la copia dello spazio di archiviazione fisico nella sua interezza, richiede strumenti specializzati e comporta una maggiore complessità; l’estrazione manuale, che consiste nell’esame dei dati direttamente sul dispositivo, documentando fotograficamente il processo, è dispendiosa in termini di tempo e soggetta all’errore umano; l’estrazione del filesystem, invece, raccoglie informazioni direttamente dalla memoria interna del dispositivo.
  • Analisi: i dati rilevanti vengono identificati, estratti e interpretati dagli investigatori grazie a strumenti e tecniche specialistiche, al fine di confermare o smentire ipotesi e cercare informazioni nascoste.
  • Reporting: l’ultima fase consiste nella creazione di un report dettagliato su quanto fatto durante l’intero processo (compresa la catena di custodia) e ciò che si è scoperto durante l’indagine. I report finali devono essere chiari, e completi, di facile comprensione sia per un pubblico tecnico che non tecnico ed inoltre dovrebbero descrivere dettagliatamente  le metodologie utilizzate, i dati recuperati e l’interpretazione dei risultati. 

 

Evidenze raccolte

Tra le diverse evidenze che possono essere raccolte da dispositivi mobili, troviamo:

  • contatti, ovvero nomi e numeri di telefono ed indirizzi email associati;
  • registri delle chiamate ricevute, effettuate e la loro durata;
  • messaggi (SMS e MMS) ricevuti, inviati ed i loro contenuti;
  • cronologia di navigazione sul web;
  • foto e video fatti con il dispositivo, scaricati da internet o trasferiti da un altro dispositivo;
  • musica e documenti scaricati da internet o inviati da un altro dispositivo;
  • agenda e gli appuntamenti registrati;
  • registro delle geolocalizzazioni, delle mappe e dei luoghi ricercati;
  • tutti i dati registrati dalle applicazioni dei social network;
  • dati cancellati dal dispositivo.

 

Scenari di applicazione della mobile forensics

La mobile forensics trova applicazione in molteplici contesti.
Nel settore civile può rivelarsi decisiva in varie tipologie di controversie, ad esempio in casi di inadempienze contrattuali o di molestie, grazie alla possibilità di recuperare e analizzare comunicazioni rilevanti.
In situazioni di attacchi informatici, contribuisce a ricostruire le modalità dell’incidente e a identificare le vulnerabilità sfruttate dagli aggressori.
Nelle indagini penali, rappresenta una fonte preziosa di elementi probatori, utili a chiarire eventi, tempi e relazioni tra i soggetti coinvolti.
Infine, in ambito aziendale svolge un ruolo chiave nell’individuare e contrastare frodi interne, sottrazioni di proprietà intellettuale e violazioni dei dati, supportando processi investigativi più completi ed efficaci.

 

Sfide della mobile forensics

Durante le attività investigative sui dispositivi mobili emergono diverse criticità. Una delle principali riguarda l’enorme varietà di modelli in circolazione, ciascuno caratterizzato da dimensioni, componenti hardware, sistemi operativi e funzionalità differenti. Inoltre, il ritmo rapido con cui vengono immessi sul mercato nuovi dispositivi e aggiornamenti rende complessa la standardizzazione e il consolidamento delle tecniche di analisi.
A complicare ulteriormente il quadro intervengono le misure di sicurezza integrate nei dispositivi, progettate per proteggere dati e privacy degli utenti, ma che rappresentano un ostacolo significativo per gli esperti forensi. Una delle regole fondamentali della digital forensics è evitare qualsiasi alterazione dei dati presenti sul dispositivo oggetto di indagine; tuttavia, nel contesto mobile questo risulta spesso irrealizzabile. Ad esempio, quando un telefono è protetto da PIN o password, gli investigatori devono trovare un modo per aggirare tali meccanismi, con il rischio di modificare almeno in parte lo stato originale del sistema.
Sul piano etico, la questione centrale è trovare un equilibrio tra la tutela della privacy degli utenti e le necessità legate all’amministrazione della giustizia, un tema che rimane costantemente oggetto di confronto. Il trattamento di dati personali particolarmente delicati impone il rispetto di rigorosi principi etici e di procedure consolidate. Chi opera nella mobile forensics deve attenersi a un solido codice deontologico, consapevole della sensibilità delle informazioni che analizza e delle possibili conseguenze del proprio lavoro sui diritti alla riservatezza delle persone. Preservare la fiducia dei cittadini e assicurare un impiego corretto e responsabile delle metodologie forensi rappresentano elementi imprescindibili in questo settore.