Academic Review - Study on Digital Forensic Analysis Of The Private Mode Of Browsers On Android

English: Digital Forensic Analysis Of The Private Mode Of Browsers On Android

Turkish: Android Işletim Sistemli Cihazlarda Özel Modda Çalışan Internet Tarayıcıların Adli Analizi

DOI: 0167-4048, 2023, Digital forensic analysis of the private mode of browsers on Android, Centro Singular de Investigación en Tecnoloxías Intelixentes (CiTIUS)

Abstract

This study concludes results of tests made on various physical and logical (emulated) devices to detect remnants of user credential information kept in file systems of different devices and web browsers, after end of user’s browsing activity. Credentials of users, including usernames and passwords, were stored in keychain files of various web browsers in both Physical and logical devices running Android OS. Tests were ran on both physical and logically emulated Samsung tablet models ran on Android Studio. Following end of browsing, several reset methods were applied to browsers and devices, including hard reset of device. Following conducting abovementioned tests, Android file system were searched for detecting if remnants of user credentials used in different web browsers could be found. The work does not concern with password protection scenarios since it is solely focused on credential detection. This thesis could also be considered as important since it shows how private mode does not completely wipe user data from devices, as credentials could be beneficial for further forensic investigations.

Özet

Bu makale, farklı fiziksel ve mantıksal (emüle edilmiş) cihazlar üzerinden gerçekleştirilmiş, kullanıcının tarayıcı etkinliğini sonlandırmasının ardından farklı cihazların ve web tarayıcılarının dosya sistemlerinde kullanıcı kimlik bilgilerine ait kalıntıların tespit edilmesini amaçlayan bir dizi testi içermektedir. Android işletim sistemi üzerinde çalışan fiziksel ve mantıksal cihazlarda, çeşitli web tarayıcılarına ait anahtar zinciri (keychain) dosyalarında kullanıcı adı ve parolalar dahil olmak üzere kullanıcı kimlik bilgileri kaydedilmiştir. Testler, Android Studio üzerinde çalışan mantıksal olarak emüle edilmiş ve fiziksel Samsung tablet modelleri üzerinde gerçekleştirilmiştir. Tarayıcı kullanımının sona ermesinin ardından, tarayıcılara ve cihazlara çeşitli sıfırlama yöntemleri uygulanmıştır; bu yöntemler arasında cihazın donanımsal sıfırlaması da yer almaktadır. Android dosya sistemi üzerinde farklı web tarayıcılarında kullanılan kullanıcı kimlik bilgilerine ait kalıntıların tespit edilip edilemeyeceği araştırılmıştır. İlgili çalışma, parola koruma senaryolarını kapsamayıp; yalnızca kimlik bilgisi bilgisi tespiti üzerine odaklanmıştır. Bu çalışma, gizli modun kullanıcı verilerini cihazlardan tamamen silmediğini göstermesi açısından önemlidir. Zira bu kimlik bilgileri, adli bir sürecin aydınlatılması adına farklı uygulamalara ve ek bilgi/belgelere erişim sağlanabilmesi adına önemli olabilir.

1. Çalışmanın Tanımı/Amacı/Kapsamı

İnsanoğlu günümüzde iletişim kurabilmek amacıyla her zamankinden daha fazla internet bağlantısı ve dolayısı ile bu bağlantıyı kurmayı gerektiren aktiviteleri gerçekleştirebilecek bir akıllı cihaza ihtiyaç duymaktadır. 2023 yılında, tüm bu internet trafiğinin %57'si mobil işletim sistemleri üzerin gerçekleştirilirken. 2025 yılı itibariyle mobil işletim sistemlerinin yaklaşık %72’sini ise Android işletim sistemine sahip cihazlar oluşturmaktadır. Android işletim sisteminin tercih edilmesinde öne çıkan sebeplerinden birisi olarak işletim sisteminin kullanıcılarına sunduğu esnekliğin yanı sıra güvenlik endişeleri de gerekçe olarak gösterilebilir. Çalışma, Android işletim sistemine sahip cihazlarda kullanılan gizli mod web tarayıcılarının kullanıcı verilerini sonrasında saklayıp saklamadığı incelemeyi hedeflemektedir. Çalışmada ek olarak, web tarayıcıların kullanılması sonrasında cihazın resetlenmesinin verilerin tespiti üzerindeki etkileri de dolaylı yoldan incelenmiştir.

2. Çalışmada Önerilen/İncelenen/Uygulanan Yöntem Detayları

Bu çalışmada, Android cihazların gizli modda keychain’e kaydedilen kullanıcı şifre ve parola bilgilerini tutup tutmadığının kontrolü ve tespiti amacıyla çeşitli analizler gerçekleştirilmiştir. Analizlerin gerçekleştirilmesi öncesinde, cihaz fabrika ayarlarına döndürülerek analizin yalnızca mevcut verileri kapsaması sağlanmış, ek olarak çıktıların değişkenliğini engellemek adına işletim sistemi güncellemeleri devre dışı bırakılmıştır. Çalışmaların gerçekleştirilmesi öncesinde, cihazın geçici belleği dump edilerek gereksiz verilerin silinmesi sağlanmış, bu amaçla Samsung Upload Client yazılımı kullanılmıştır. Kullanıcı verilerinin işlendiği andaki değişikliklerin takibi adına inotifywait uygulaması kullanılmıştır. Web tarayıcı tarafından kullanıcı dosyalarında gerçekleştirilen değişikliklerin tespiti adına sırasıyla; önce inotifywait uygulaması çalıştırılmış, akabinde web taraması işlemleri gerçekleştirilmiş, ardından web tarayıcıdan çıkış yapılarak takip uygulaması durdurulmuştur. İlgili çalışmalar, Google Chrome, Brave, Mozilla Firefox ve Tor Browser tarayıcıları ile bir adet fiziksel Galaxy Tab S6 Lite LTE ve Android Emulatör üzerinde çalışan, Google Pixel 4’e benzerlik taşıyan 2 sanal tablet üzerinde gerçekleştirilmiştir. Çalışmalar gerçekleştirilirken kullanıcı ekran şifresinin bilindiği varsayımı ile ilerlenmiştir. Cihaz belleğinde meydana gelen değişikliklerin tespit edilmesi ve kullanıcı bilgilerinin tespiti adına wxHexEditor yazılımı üzerinden, temin edilen dosya sistemi verileri üzerinde kullanıcı adı ve şifre bilgileri ile bazı çeşitli diğer anahtar kelimeler ile birlikte toplamda 18 adet anahtar kelime aranmıştır. Farklı şekillerde gerçekleştirilen memory dump işlemleri sonrasında bu anahtar kelimelere takılan anahtar kelime adetleri, istatistiksel olarak incelenmiştir.

3. Çalışmanın Başarısını Değerlendirme Yöntemi

Daha önceki kullanıcılara ait geçmiş verileri içermediğinden emin olunması adına çalışmalar öncesinde cihazlar fabrika ayarlarına geri döndürülmüştür. Çalışmanın gerçekleştirilmesi esnasında uygulama tarafından oluşturulacak tüm verilerin tutulması adına geçici belleğin temizlendiğinden emin olunmuştur. Çalışmalar; T1, T2, T3 ve T4 olmak üzere 4 farklı senaryo üzerinden gerçekleştirilmiş, farklı her bir senaryo üzerinden ve farklı güvenlik güncellemelerine sahip Android işletim sistemlerine sahip (Android 9 ve 13) ve farklı donanımsal değişkenlere sahip cihazlar üzerinden gerçekleştirilmiştir. Bu yöntemler eşliğinde, gerçekleştirilen çalışmaların farklı kapsayıcılığa sahip bir küme üzerinde gerçekleştirilmesi sağlanmıştır.

4. Deneysel Çalışma Detayları/Sonuçları

Bu çalışmada, Android işletim sistemine sahip cihazlarda yer alan web tarayıcılarda tutulan kullanıcı verilerinin tespit edilmesi adına alternatif yöntemler gerçekleştirilerek elde edilen veriler incelemeye tabi tutulmuştur. Çalışmalar, Android 13 işletim sistemine sahip fiziksel bir Samsung Galaxy Tab S6 Lite LTE, Windows 11 22H2 versiyonu üzerinde koşan Android Emülatör üzerinde yaratılmış ve Pixel 4 tablet ile benzer özellikler taşıyan Android 9 ve 13 versiyonuna sahip 1’i fiziksel, 2’si sanal olmak üzere 3 cihaz üzerinden gerçekleştirilmiştir. Belirlenen kullanıcı adı ve şifreleri, sırasıyla; Google Chrome 104.0.5112.97, Brave 1.49.132, Mozilla Firefox 111.1.1 ve Tor Browser 102.2.1-Release (12.0.4) versiyonlarına sahip işletim sistemleri üzerindeki keychain’lere kaydedilmiştir. Çalışma sonuçlarına istinaden en fazla verinin T1 testinde Android işletim sistemi üzerinde, Google Chrome işletim sistemi üzerinden tespit edilebildiği (Toplamda 426 hit), Bunu 365 adet ile Brave web tarayıcısının takip ettiği, uygulamaların kapatılıp taramanın tekrar gerçekleştiği T2 testinde de tespit edilen veri adedinin benzer şekilde seyrettiği, cihazın restartlanarak taramanın yeniden gerçekleştirildiği T3 testinde, elde edilen veri adedinin tüm tarayıcılar özelinde ciddi anlamda düştüğü, T4 testinde ise neredeyse hiçbir verinin tespit edilemediği görülmüştür. Yine çoğu testte, Chrome ve Brave tarayıcıları üzerinde kaydedilen kullanıcı verilerinin, Firefox ve Tor tarayıcılarına kıyasla daha fazla olduğu anlaşılmıştır. Çalışma sonuçları, Android işletim sisteminin güvenlik katmanlarına ve gizli mod çalıştıran web tarayıcıların tüm güvenlik özelliklerine rağmen çeşitli kullanıcı verilerinin RAM üzerinde tutulmaya devam ettiğini göstermiştir.

5. Çalışmanın Güçlü/Zayıf Yönleri

Çalışmanın güçlü yönleri arasında, testlerin öncesinde ve sırasında önceki verilerin sonuçlara etki etmemesi için cihazların fabrika ayarlarına döndürülmesi; çalışmada kullanılan yazılımların ve yöntemlerin açıkça belgelenmesi; her bir test adımının tarayıcı, işletim sistemi ve Android sürümü bazında ayrıştırılarak örnek sayılarının (adet olarak) verilmesi ve böylece istatistiksel olarak ortaya konulması sayılabilir. Bununla birlikte çalışmanın bazı zayıf yönleri de mevcuttur. Özellikle testlerin sınırlı sayıda cihaz ve işletim sistemi sürümü üzerinde gerçekleştirilmiş olması, çalışmaların sonuçlarını donanım ve yazılım bazında sınırlamaktadır. Ayrıca testlerin bir kısmının emülatör üzerinde yapılması, gerçek cihazların donanım tabanlı güvenlik mekanizmalarının çalışmalarda dikkate alınmamasına yol açabilir. Bu nedenle sanal cihazlar ile fiziksel cihazlar benzer görünseler bile, emülatör kullanımının donanımsal güvenlik önlemlerinin atlatılmasına neden olması sonucu fiziksel cihazlardan elde edilecek bulgular ile çalışma kapsamında elde edilen sonuçlar arasında farklılıklar ortaya çıkabilir. Bunlara ek olarak, testlerin gerçekleştiği cihazların ekran şifrelerinin bilindiği varsayımı üzerinden gerçekleştirilmiştir. Özellikle günümüzde şifrelemenin yaygınlaştığı varsayıldığında, gerçek dünyada çalışma kapsamındaki verilere kısmen veya tamamen erişilmesi mümkün olmayabilir.

Original Content as Follows:

English: Digital Forensic Analysis Of The Private Mode Of Browsers On Android

Turkish: Android Işletim Sistemli Cihazlarda Özel Modda Çalışan Internet Tarayıcıların Adli Analizi

DOI: 0167-4048, 2023, Digital forensic analysis of the private mode of browsers on Android, Centro Singular de Investigación en Tecnoloxías Intelixentes (CiTIUS)

 

Abstract

This study concludes results of tests made on various physical and logical (emulated) devices to detect remnants of user credential information kept in file systems of different devices and web browsers, after end of user’s browsing activity. Credentials of users, including usernames and passwords, were stored in keychain files of various web browsers in both Physical and logical devices running Android OS. Tests were ran on both physical and logically emulated Samsung tablet models ran on Android Studio. Following end of browsing, several reset methods were applied to browsers and devices, including hard reset of device. Following conducting abovementioned tests, Android file system were searched for detecting if remnants of user credentials used in different web browsers could be found. The work does not concern with password protection scenarios since it is solely focused on credential detection. This thesis could also be considered as important since it shows how private mode does not completely wipe user data from devices, as credentials could be beneficial for further forensic investigations.

Özet

Bu makale, farklı fiziksel ve mantıksal (emüle edilmiş) cihazlar üzerinden gerçekleştirilmiş, kullanıcının tarayıcı etkinliğini sonlandırmasının ardından farklı cihazların ve web tarayıcılarının dosya sistemlerinde kullanıcı kimlik bilgilerine ait kalıntıların tespit edilmesini amaçlayan bir dizi testi içermektedir. Android işletim sistemi üzerinde çalışan fiziksel ve mantıksal cihazlarda, çeşitli web tarayıcılarına ait anahtar zinciri (keychain) dosyalarında kullanıcı adı ve parolalar dahil olmak üzere kullanıcı kimlik bilgileri kaydedilmiştir. Testler, Android Studio üzerinde çalışan mantıksal olarak emüle edilmiş ve fiziksel Samsung tablet modelleri üzerinde gerçekleştirilmiştir. Tarayıcı kullanımının sona ermesinin ardından, tarayıcılara ve cihazlara çeşitli sıfırlama yöntemleri uygulanmıştır; bu yöntemler arasında cihazın donanımsal sıfırlaması da yer almaktadır. Android dosya sistemi üzerinde farklı web tarayıcılarında kullanılan kullanıcı kimlik bilgilerine ait kalıntıların tespit edilip edilemeyeceği araştırılmıştır. İlgili çalışma, parola koruma senaryolarını kapsamayıp; yalnızca kimlik bilgisi bilgisi tespiti üzerine odaklanmıştır. Bu çalışma, gizli modun kullanıcı verilerini cihazlardan tamamen silmediğini göstermesi açısından önemlidir. Zira bu kimlik bilgileri, adli bir sürecin aydınlatılması adına farklı uygulamalara ve ek bilgi/belgelere erişim sağlanabilmesi adına önemli olabilir.

1. Çalışmanın Tanımı/Amacı/Kapsamı

İnsanoğlu günümüzde iletişim kurabilmek amacıyla her zamankinden daha fazla internet bağlantısı ve dolayısı ile bu bağlantıyı kurmayı gerektiren aktiviteleri gerçekleştirebilecek bir akıllı cihaza ihtiyaç duymaktadır. 2023 yılında, tüm bu internet trafiğinin %57'si mobil işletim sistemleri üzerin gerçekleştirilirken. 2025 yılı itibariyle mobil işletim sistemlerinin yaklaşık %72’sini ise Android işletim sistemine sahip cihazlar oluşturmaktadır. Android işletim sisteminin tercih edilmesinde öne çıkan sebeplerinden birisi olarak işletim sisteminin kullanıcılarına sunduğu esnekliğin yanı sıra güvenlik endişeleri de gerekçe olarak gösterilebilir. Çalışma, Android işletim sistemine sahip cihazlarda kullanılan gizli mod web tarayıcılarının kullanıcı verilerini sonrasında saklayıp saklamadığı incelemeyi hedeflemektedir. Çalışmada ek olarak, web tarayıcıların kullanılması sonrasında cihazın resetlenmesinin verilerin tespiti üzerindeki etkileri de dolaylı yoldan incelenmiştir.

2. Çalışmada Önerilen/İncelenen/Uygulanan Yöntem Detayları

Bu çalışmada, Android cihazların gizli modda keychain’e kaydedilen kullanıcı şifre ve parola bilgilerini tutup tutmadığının kontrolü ve tespiti amacıyla çeşitli analizler gerçekleştirilmiştir. Analizlerin gerçekleştirilmesi öncesinde, cihaz fabrika ayarlarına döndürülerek analizin yalnızca mevcut verileri kapsaması sağlanmış, ek olarak çıktıların değişkenliğini engellemek adına işletim sistemi güncellemeleri devre dışı bırakılmıştır. Çalışmaların gerçekleştirilmesi öncesinde, cihazın geçici belleği dump edilerek gereksiz verilerin silinmesi sağlanmış, bu amaçla Samsung Upload Client yazılımı kullanılmıştır. Kullanıcı verilerinin işlendiği andaki değişikliklerin takibi adına inotifywait uygulaması kullanılmıştır. Web tarayıcı tarafından kullanıcı dosyalarında gerçekleştirilen değişikliklerin tespiti adına sırasıyla; önce inotifywait uygulaması çalıştırılmış, akabinde web taraması işlemleri gerçekleştirilmiş, ardından web tarayıcıdan çıkış yapılarak takip uygulaması durdurulmuştur. İlgili çalışmalar, Google Chrome, Brave, Mozilla Firefox ve Tor Browser tarayıcıları ile bir adet fiziksel Galaxy Tab S6 Lite LTE ve Android Emulatör üzerinde çalışan, Google Pixel 4’e benzerlik taşıyan 2 sanal tablet üzerinde gerçekleştirilmiştir. Çalışmalar gerçekleştirilirken kullanıcı ekran şifresinin bilindiği varsayımı ile ilerlenmiştir. Cihaz belleğinde meydana gelen değişikliklerin tespit edilmesi ve kullanıcı bilgilerinin tespiti adına wxHexEditor yazılımı üzerinden, temin edilen dosya sistemi verileri üzerinde kullanıcı adı ve şifre bilgileri ile bazı çeşitli diğer anahtar kelimeler ile birlikte toplamda 18 adet anahtar kelime aranmıştır. Farklı şekillerde gerçekleştirilen memory dump işlemleri sonrasında bu anahtar kelimelere takılan anahtar kelime adetleri, istatistiksel olarak incelenmiştir.

3. Çalışmanın Başarısını Değerlendirme Yöntemi

Daha önceki kullanıcılara ait geçmiş verileri içermediğinden emin olunması adına çalışmalar öncesinde cihazlar fabrika ayarlarına geri döndürülmüştür. Çalışmanın gerçekleştirilmesi esnasında uygulama tarafından oluşturulacak tüm verilerin tutulması adına geçici belleğin temizlendiğinden emin olunmuştur. Çalışmalar; T1, T2, T3 ve T4 olmak üzere 4 farklı senaryo üzerinden gerçekleştirilmiş, farklı her bir senaryo üzerinden ve farklı güvenlik güncellemelerine sahip Android işletim sistemlerine sahip (Android 9 ve 13) ve farklı donanımsal değişkenlere sahip cihazlar üzerinden gerçekleştirilmiştir. Bu yöntemler eşliğinde, gerçekleştirilen çalışmaların farklı kapsayıcılığa sahip bir küme üzerinde gerçekleştirilmesi sağlanmıştır.

4. Deneysel Çalışma Detayları/Sonuçları

Bu çalışmada, Android işletim sistemine sahip cihazlarda yer alan web tarayıcılarda tutulan kullanıcı verilerinin tespit edilmesi adına alternatif yöntemler gerçekleştirilerek elde edilen veriler incelemeye tabi tutulmuştur. Çalışmalar, Android 13 işletim sistemine sahip fiziksel bir Samsung Galaxy Tab S6 Lite LTE, Windows 11 22H2 versiyonu üzerinde koşan Android Emülatör üzerinde yaratılmış ve Pixel 4 tablet ile benzer özellikler taşıyan Android 9 ve 13 versiyonuna sahip 1’i fiziksel, 2’si sanal olmak üzere 3 cihaz üzerinden gerçekleştirilmiştir. Belirlenen kullanıcı adı ve şifreleri, sırasıyla; Google Chrome 104.0.5112.97, Brave 1.49.132, Mozilla Firefox 111.1.1 ve Tor Browser 102.2.1-Release (12.0.4) versiyonlarına sahip işletim sistemleri üzerindeki keychain’lere kaydedilmiştir. Çalışma sonuçlarına istinaden en fazla verinin T1 testinde Android işletim sistemi üzerinde, Google Chrome işletim sistemi üzerinden tespit edilebildiği (Toplamda 426 hit), Bunu 365 adet ile Brave web tarayıcısının takip ettiği, uygulamaların kapatılıp taramanın tekrar gerçekleştiği T2 testinde de tespit edilen veri adedinin benzer şekilde seyrettiği, cihazın restartlanarak taramanın yeniden gerçekleştirildiği T3 testinde, elde edilen veri adedinin tüm tarayıcılar özelinde ciddi anlamda düştüğü, T4 testinde ise neredeyse hiçbir verinin tespit edilemediği görülmüştür. Yine çoğu testte, Chrome ve Brave tarayıcıları üzerinde kaydedilen kullanıcı verilerinin, Firefox ve Tor tarayıcılarına kıyasla daha fazla olduğu anlaşılmıştır. Çalışma sonuçları, Android işletim sisteminin güvenlik katmanlarına ve gizli mod çalıştıran web tarayıcıların tüm güvenlik özelliklerine rağmen çeşitli kullanıcı verilerinin RAM üzerinde tutulmaya devam ettiğini göstermiştir.

5. Çalışmanın Güçlü/Zayıf Yönleri

Çalışmanın güçlü yönleri arasında, testlerin öncesinde ve sırasında önceki verilerin sonuçlara etki etmemesi için cihazların fabrika ayarlarına döndürülmesi; çalışmada kullanılan yazılımların ve yöntemlerin açıkça belgelenmesi; her bir test adımının tarayıcı, işletim sistemi ve Android sürümü bazında ayrıştırılarak örnek sayılarının (adet olarak) verilmesi ve böylece istatistiksel olarak ortaya konulması sayılabilir. Bununla birlikte çalışmanın bazı zayıf yönleri de mevcuttur. Özellikle testlerin sınırlı sayıda cihaz ve işletim sistemi sürümü üzerinde gerçekleştirilmiş olması, çalışmaların sonuçlarını donanım ve yazılım bazında sınırlamaktadır. Ayrıca testlerin bir kısmının emülatör üzerinde yapılması, gerçek cihazların donanım tabanlı güvenlik mekanizmalarının çalışmalarda dikkate alınmamasına yol açabilir. Bu nedenle sanal cihazlar ile fiziksel cihazlar benzer görünseler bile, emülatör kullanımının donanımsal güvenlik önlemlerinin atlatılmasına neden olması sonucu fiziksel cihazlardan elde edilecek bulgular ile çalışma kapsamında elde edilen sonuçlar arasında farklılıklar ortaya çıkabilir. Bunlara ek olarak, testlerin gerçekleştiği cihazların ekran şifrelerinin bilindiği varsayımı üzerinden gerçekleştirilmiştir. Özellikle günümüzde şifrelemenin yaygınlaştığı varsayıldığında, gerçek dünyada çalışma kapsamındaki verilere kısmen veya tamamen erişilmesi mümkün olmayabilir.

Original Content: