Mobile Forensics: cos'è, a cosa serve e come funziona

Cos'è la Mobile Forensics?

La mobile forensics è la disciplina che recupera, conserva, analizza e presenta prove digitali da smartphone, tablet, U/SIM e servizi collegati, seguendo metodologie e standard riconosciuti per garantire l’ammissibilità legale delle evidenze. In termini semplici, parliamo di un insieme di procedure tecniche e giuridiche che trasformano i dati di un telefono in informazioni probatorie affidabili, ripetibili e documentate.

Evoluzione di reti e dispositivi

Capire come siamo passati dai feature phone alle piattaforme iOS e Android odierne chiarisce perché l’analisi è diventata così complessa: dalla 1G analogica con zero persistenza dei dati, al 2G con SMS/MMS, fino a 3G/4G che hanno abilitato app, GPS, fotocamere avanzate e sincronizzazione in cloud.

Con il 5G, la latenza ridotta e l’integrazione IoT moltiplicano le superfici probatorie: i reperti non vivono più soltanto nel dispositivo, ma si frammentano tra memorie interne, schede esterne, SIM/UICC, account cloud e persino log di rete dell’operatore.

Questa progressione spiega l’ampliamento del perimetro di indagine e la necessità di strumenti più sofisticati, nonché di competenze aggiornate.

Processo forense: dalle prove al report

Tutte le scuole principali convergono su un flusso coerente, con nomi talvolta diversi ma sostanza identica. In sintesi, per spiegare come funziona la mobile forensics, il lavoro procede come vevdrai di seguito.

Preservazione

Messa in sicurezza della scena e dei dispositivi, con documentazione puntuale di stato di alimentazione, blocco, data/ora, batteria e danni visibili. Soprattutto, isolamento radio per prevenire remote wipe e modifiche involontarie: modalità aereo quando possibile, altrimenti borse di Faraday o box schermati.

Nei sequestri differiti, lo spegnimento può far perdere dati volatili e riattivare meccanismi di blocco alla riaccensione: si agisce per minimizzare rischi e contaminazioni.

Acquisizione

Creazione di una copia forense dai target pertinenti: memoria interna, schede esterne, U/SIM, backup preesistenti e, se autorizzato, dati cloud; talvolta anche CDR e metadati in carico al carrier.

La scelta del metodo dipende da modello, OS, stato (bloccato/sbloccato, integro/danneggiato) e vincoli legali.

Esame e analisi

Ricerca e interpretazione di artefatti (database SQLite, EXIF, cronologie, chat, token, posizioni) con correlazioni temporali e tra sorgenti.

Qui valgono i principi di validazione incrociata: verifica con un secondo strumento o da una lettura manuale dei dati grezzi.

Reporting

Redazione di un rapporto chiaro e riproducibile, con catena di custodia, strumenti impiegati, versioni, impronte hash dove applicabile, limiti e conclusioni tecniche.

Sicurezza e crittografia: la sfida centrale

Gli smartphone moderni proteggono i dati con crittografia forte e componenti hardware dedicati.

In Android, la Full-Disk Encryption (FDE) è stata affiancata dalla File-Based Encryption (FBE), che cifra i file con chiavi distinte e sblocchi granulari; in iOS, il Secure Enclave isola le chiavi legate all’hardware, rendendo i dump fisici grezzi inutilizzabili senza segreto utente.

Questi meccanismi riducono l’efficacia dei vecchi approcci JTAG o Chip-Off su dispositivi bloccati: senza credenziali o exploit affidabili, l’investigatore ottiene solo ciphertext.

Metodi di acquisizione: dalla logica al chip-off

Gli approcci si dispongono su una scala di invasività e completezza:

Estrazione manuale: navigazione dell’interfaccia e documentazione fotografica; minima invasività, massimi limiti probatori.

Estrazione logica: interrogazione delle API del sistema (spesso come un backup), recupera dati utente e talvolta record cancellati rimasti nei database; raramente accede allo spazio non allocato.

Estrazione del file system: copia della struttura completa del filesystem, compresi file di sistema e dati app; offre maggiore profondità sui record SQLite e metadati di sistema.

Estrazione fisica: bit-by-bit della memoria flash; include blocchi non allocati e residui utili al carving. Le varianti invasive JTAG e Chip-Off intervengono sull’hardware, ma su device moderni bloccati la crittografia le rende spesso infruttuose dal punto di vista contenutistico (si estraggono bit cifrati).

Strumenti nella Mobile Forensics

Non esiste un “coltellino svizzero” universale: si seleziona in base a dev/OS, stato del device, policy legali e obiettivi di prova.

Tra gli strumenti principali:

• Cellebrite UFED. Piattaforma leader per estrazione logica, file system e fisica laddove consentito, con supporto molto ampio a brand e modelli, funzioni di decodifica artefatti e portfolio di analisi e servizi specialistici. È pensata per scenari LEA/Gov ed enterprise con alti requisiti di workflow e chain of custody.
• MSAB XRY. Soluzione focalizzata su integrità forense e velocità operativa, con moduli per frontline e laboratorio, integrazione nell’ecosistema MSAB e supporto multidevice.
• Magnet AXIOM. Piattaforma di analisi artifact-first che correla device mobili, computer e cloud nello stesso caso, ottima per ricostruire timeline, relazioni e contesto probatorio in indagini miste.

Altre referenze note includono Oxygen Forensic Detective, Autopsy/The Sleuth Kit in ambito open-source, e prodotti specializzati per scenari di sblocco e decodifica.

Quindi, alla domanda Quale tool viene utilizzato nella Mobile Forensics? la risposta corretta è “dipende”: in ambito professionale si usano spesso UFED, XRY e AXIOM in combinazione, scegliendo di volta in volta il percorso probatorio migliore per quel modello/OS, quel vincolo legale e quell’obiettivo investigativo.

Artefatti e dove trovarli

Una volta ottenuta l’immagine, l’attenzione si concentra su artefatti e metadati:

• log chiamate e contatti: database SQLite specifici di OS e dialer, con timestamp, direzione e durata; utili per pattern comunicativi e smentite/riscontri;
• messaggi (SMS/MMS/iMessage/OTT): contenuti, allegati, stati di consegna/lettura; molti client chat salvano copie locali di media e thumbnails, oltre a cache e stickers;
• posizioni: da GPS, celle e Wi-Fi; cruciale correlare coordinate e accuracy con EXIF di foto/video e con i CDR dell’operatore per confermare la presenza in luogo/tempo;
• cronologie web e ricerche: rivelano interessi e attività; attenzione a sincronizzazioni cross-device via account;
• dati app: social, messaggistica, banking, token, chiavi di accesso, impostazioni; spesso vivono in sandbox app-specifiche con database SQLite, plist/XML o JSON;
• media: EXIF con modello, data/ora, geotag e catene di modifica; una singola foto può “collassare” una timeline.

La letteratura e i manuali tecnici sottolineano che molti strumenti parsano automaticamente questi artefatti, ma i casi complessi richiedono confronto hex e validazioni manuali, soprattutto quando l’app usa formati proprietari o compressioni insolite.

SIM e rete cellulare nell’indagine

La UICC/SIM non è solo il tuo numero di telefono: è una smart card con file system (MF/DF/EF), rubriche (ADN/FDN), SMS ancora presenti in memoria e identificatori critici (ICCID, IMSI, talvolta MSISDN).

Le migliori pratiche prevedono acquisizione separata con lettori PC/SC, eventuale clonazione in CNIC per operare sul device senza rischio di traffico radio, e analisi manuale dei file EF quando i parser non restituiscono risultati completi.

Sul fronte infrastruttura, i CDR del carrier, i database HLR/VLR e componenti come SMSC possono contribuire con riscontri temporali e celle agganciate, utili per triangolare luoghi e movimenti con i dati del dispositivo. Anche qui, NIST e linee guida europee ribadiscono requisiti di autorizzazione e catena di custodia.

Perché “cancellato” non significa scomparso

Le memorie NAND adottano wear-levelling e garbage collection: “cancellare” marca blocchi come riutilizzabili, lasciando residui nello spazio non allocato recuperabili con tecniche carving. Tuttavia, con FBE e Secure Enclave il recupero dei contenuti diventa impossibile senza chiavi: le immagini fisiche produrranno dati cifrati.

In pratica, il focus si sposta su sblocco legittimo, backup disponibili, relazioni di fiducia con PC già accoppiati e, in ultima istanza, su servizi autorizzati che sfruttano vulnerabilità note e poi patchate nel tempo.

Conclusione

La mobile forensics vive nell’equilibrio tra privacy e giustizia: da un lato l’utente protetto da crittografia hardware-backed e FBE, dall’altro la necessità di ricostruire fatti e responsabilità con metodo.

Scopri le nostre indagini forensi!