Nederlands Forensisch [email protected]@holmes.nl
11 april 2017
SmartTV Forensics
M. Roeloffs
A. Boztas
SmartTV Forensic- 11 april 2017
SmartTV Forensic- 11 april 2017
Agenda
• Inleiding
• Materiaal en methoden
• Data acquisitie
• Data analyse
• Toekomst
• Conclusie
SmartTV Forensic- 11 april 2017
Inleiding
SmartTV Forensic- 11 april 2017
Inleiding
Onderzoeksvragen:
• Kan een Smart TV een belangrijke component worden in een digitaal forensische onderzoek?
• Is het mogelijk om data van een Smart TV veilig te stellen?
• Kan een Smart TV relevante data bevatten?
SmartTV Forensic- 11 april 2017
Materiaal en methoden
• literatuuronderzoek
• selectie Smart TV
• data acquisitie
• data-analyse • System information and settings
• Apps
• Web browsing
• Photo and multimedia files
• External media
• Cloud services
• Channel information
SmartTV Forensic- 11 april 2017
SmartTV
• UE40F7000SLXXN
• Camera, microfoon
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
• De meeste embedded systemen gebruik(t)en eMMC chips
• eMMC is hetzelfde als een MMC kaart
• Maar 3 signalen + Voeding nodig om uit te lezen
• Controller, er wordt een disk image gemaakt, geen ruwe kopie van NAND
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
Aansluiten d.m.v. microSDSD kaart omzetter
Draden:
D0 Geel
GND Zwart
CLK Blauw
VCC Rood
CMD Groen
9
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
SmartTV Forensic- 11 april 2017
Data acquisitie: Vijf draden methode
Werkt met externe voeding
SmartTV Forensic- 11 april 2017
Data acquisitie: NFI Memory Toolkit
• Chipoff• Desolderen van de
eMMC chip• Uitlezen met de
NFI Memory Toolkit II• Bij bijna alle embedded
apparatuur mogelijk, nog steeds last van crypto.
SmartTV Forensic- 11 april 2017
Data acquisitie: App
• Smart TV’s zijn “gewone” computers
• Werken vaak met
besturingssysteem
linux
• “Rooten”
SmartTV Forensic- 11 april 2017
Data acquisitie: App
• SamyGO forum op internet
• Veel mogelijkheden voor “rooten”
• Mogelijk om Smart TV te gebruiken als bittorrent client etc.
SmartTV Forensic- 11 april 2017
Data acquisitie: App
• SamyGO method
• Install the Skype App from the Samsung App store.
• Start the Skype app
• Set the Skype app to autostart
• Install the SamyGO widget.
• Download the SamyGO_usb widget.
• Place the SamyGO folder on a USB flash drive.
• Navigate to “more apps” and insert the USB flash drive.
• Start the SamyGO widget
• NFI app
• Deze root werkt niet meer, maar er is een andere versie
SmartTV Forensic- 11 april 2017
Data acquisitie
5 draden
Snelle methode, herhaalbaar
Chipoff
Duurt langer, herhaalbaarheid wordt steeds beter
App
Snelle methode, maar werkt niet op alle firmware versies
SmartTV Forensic- 11 april 2017
BESTANDSSYSTEEM ANALYSE
SmartTV Forensic- 11 april 2017
Chip dump image analyse
- Partitie schema, normaal DOS
- 24 partities
Content analyse
- Squashfs
- U-images
- unknown
SmartTV Forensic- 11 april 2017
Bestandssysteem analyse
Squashfs
• Read-only
• Software van Samsung Open Source Release Center
• Aanpassing image verificatie en compressie methode
U-Boot legacy uImage
• U-Boot is een universele bootloader
Samsung eMMC
• Samsung chip oriented file system
• Lijkt op een BTRFS variant, journaling, snapshotting
• Magic ‘1eMMCFS`
Partition redundancy
• sommige partities hebben dezelfde grootte
• gebruikt om Software resetten
SmartTV Forensic- 11 april 2017
Bestandssysteem analyse
SmartTV Forensic- 11 april 2017
eMMCfs & Redundancy
- Project linux voor ARM
- Source code in samsungs opensource center
In de toekomst indien nodig, filesystem;
- Timestamps
- Logging
- Snapshotting
Meeste partities uitgevoerd in duo’s, i.v.m. met reset/update
SmartTV Forensic- 11 april 2017
Data analyse: Systeem en netwerkinformatie
• device naam
• connected devices
• Netwerk informatie
• smart functionaliteiten
SmartTV Forensic- 11 april 2017
Data analyse: System en netwerkinformatie
• System informatie:
• Serienummer
• Model
• Merk
• uniekiD
• Etc.
• Netwerk informatie:
• informatie over netwerknaam
• IP-adressen
• bluetooth apparaten
• MAC-adres
SmartTV Forensic- 11 april 2017
Data analyse: Apps
• YouTube, etc.
SmartTV Forensic- 11 april 2017
Data-analyse: Apps
• naam
• Datums
• screenshots
• Gebruikers gerelateerde informatie
SmartTV Forensic- 11 april 2017
Data-analyse: Apps
SmartTV Forensic- 11 april 2017
Data-analyse: Apps
SmartTV Forensic- 11 april 2017
Data-analyse: Webbrowsing
• bezochte websites
• web geschiedenis
• info over zoekmachines
• bookmarks
• cookies
• etc.
SmartTV Forensic- 11 april 2017
Data-analyse: Webbrowsing
settings.db bevindt zich in p24/webkit/WebBrowser.
• SQLite database
• bevat 14 tabellen
Relevante tabellen:
• FullBrowserHistory:
• fullBrowser_HiddenHistory:
• fullBrowser_Bookmark:
• fullBrowser_Search:
SmartTV Forensic- 11 april 2017
Data-analyse: Webbrowsing
SmartTV Forensic- 11 april 2017
Data-analyse: Foto en multimedia files
• The file .CM.db in p22
• SQLite database
• bevat 20 tabellen
• informatie over audio, foto’s en video bestanden
• Wanneer bestanden zijn geopend, afgespeeld etc.
Relevante tabellen:
• PhotoTable
• MusicTable
• VideoTable
• FileTable
• p22/RecentlyPlayed bevat bestanden met .mta extensie.
SmartTV Forensic- 11 april 2017
Data-analyse: Foto en multimedia bestanden
SmartTV Forensic- 11 april 2017
Data-analyse: External media
• device0013.db bevindt zich in in de root van p22
• SQLite database
• bevat een tabel TABLE_DEVID.
• informatie over USB flash drives
SmartTV Forensic- 11 april 2017
Data-analyse: Zender informatie
• p16/map-AirA, map-AirD, map-CableA, map-CableD, map-SateD
• p22/.EPG.db; SQLite database en bevat Electronic Program Guide
• Wegens tijdgebrek niet verder onderzocht
SmartTV Forensic- 11 april 2017
Data-analyse: Cloud services
• url
• foto’s
• videos
• gebruikersnamen
• etc,
SmartTV Forensic- 11 april 2017
Conclusie
• Een Smart TV is eigenlijk een computer en kan met dezelfde forensische toolset bekeken worden
• veiligstellen is mogelijk
• Een Smart TV kan relevante digitale sporen bevatten
• Relevante info is meestal in SQLite databases
• Criminelen kunnen het misbruiken. Bijv: Kinderporno, botnet, etc.
SmartTV Forensic- 11 april 2017
Toekomst
• 5 draden methode verder onderzoeken
• andere merken en modellen Smart TV onderzoeken
• uitgebreider data-analyse onderzoek
• App ontwikkelen voor het veiligstellen van data
• memory dump maken
• netwerkactiviteiten analyseren
SmartTV Forensic- 11 april 2017
SmartTV Forensic- 11 april 2017
Vragen
Top Related