====== Forenzička analiza podataka koje na pametnom telefonu ostavlja TikTok ======

===== Sažetak =====

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima.  Komunikacija na pametnim telefonima se većinom obavlja putem društvenih mreža i aplikacija, a one ostavljaju velike količine podataka koje su korisne u forenzičkoj analizi. U ovom radu fokus je na forenzičkoj analizi podataka koju društvena aplikacija TikTok ostavlja na pametnim uređajima, te je ona odabrana zbog nedavnih kontroverzi o krađi i prodaji korisničkih podataka.  Forenzička analiza se provodi pomoću alata Autopsy za Android uređaje te Qxygen Forensic Detective za android i iOS uređaje.

Keywords: mobile forensic; TikTok; Autopsy; Oxygen Forensic Detective; Android; iOS
===== Uvod =====

Napredak bežične tehnologije i mobilnih uređaja izuzetno su promijenili naš život. Broj korisnika pametnih telefona raste i većina se ljudi oslanja na njega u komunikaciji i poslovnim pitanjima. Iako se pametni telefoni koriste za pozitivne aspekte našeg života, kriminalci ih koriste i kao medij za svoj način rada. Stoga postoje potencijalni podaci pohranjeni u pametnim telefonima koji se mogu koristiti za digitalne dokaze kao dio istrage. Međutim, istražitelji se mogu suočiti s izazovima u izdvajanju ključnih informacija i vitalnih podataka pohranjenih u pametnom telefonu. Dobar izvor informacija na pametnim mobitelima čine društvene aplikacije. 

Pojavom Facebook-a, WhatsApp-a i Instagrama, veliki dio komunikacije preko pametnih telefona prebacio se upravo na te društvene mreže. Nove društvene aplikacije nastaju svake sekunde, ali u posljednje vrijeme aplikacija TikTok dobiva posebnu pozornost. Njen nagli porast popularnosti popraćen je i tužbama za kršenje privatnosti te prodajom podataka korisnika u svrhe špijuniranja [1].  

U ovom radu osvrnut ćemo se na rad TikTok aplikacije te na alate Autopsy i Oxygen Forensics Detective koji se koriste za forenzičku analizu podataka koje TikTok ostavlja na Android te iOS pametnim uređajima.
===== TikTok =====

TikTok je popularna aplikacija na društvenim mrežama koja omogućava korisnicima gledanje, stvaranje i dijeljenje 15-sekundnih videozapisa snimljenih na mobitelima. Sa svojim personaliziranim feedovima neobičnih i kreativnih kratkih videozapisa, aplikaciju karakterizira zarazna kvaliteta i visoka razina angažmana [1]. Korisnici TikTok-a također mogu primati komentare, lajkove, izravne poruke i komentare od ostalih korisnika na platformi. Izuzetno je popularan među tinejdžerima i djecom. Svi su profili prema zadanim postavkama javni, a prebacivanje vašeg profila na privatni trenutno ne ograničava mogućnost drugih korisnika da vam šalju izravne poruke. Svi videozapisi s TikTok-a mogu se preuzimati s uređaja i dijeliti s drugim platformama za razmjenu poruka.

Iako je aplikacija postala dostupna tek 2017. godine, TikTok  se nalazi u top 10 najpreuzimanijih aplikacija u desetljeću 2010. - 2019. Od svog osnivanja, TikTok za Android ima više od 1 000 milijuna preuzimanja kako prikazuje Google Play trgovina te je zabilježeno više od 315 milijuna instalacija tijekom prvog tromjesečja 2020.te godine, više nego bilo koja druga aplikacija ikada u tromjesečju [2]. 




===== Analiza podataka korištenjem Autopsy-a =====

U ovom poglavlju opisan je postupak forenzičke analize podataka koje TikTok aplikacija ostavlja putem Autopsy alata za Android mobilne uređaje. Autopsy je vodeća forenzička platforma otvorenog koda (engl. //open source//) koja je brza, jednostavna za upotrebu i sposobna analizirati sve vrste mobilnih uređaja i digitalnih medija [3]. Ima plug-in arhitekturu koja vam omogućuje pronalaženje dodatnih modula ili razvoj vlastitih prilagođenih modula u Javi ili Pythonu. 

Postupak je utemeljen na radu Patricio Dominguesa et al. [2].


==== Metodologija ====

TikTok podatke koje koristimo u forenzičkoj analizi možemo podijeliti u dvije velike skupine:
  - podaci pohranjeni u obliku XML dokumenata
  - podaci pohranjeni u SQLite bazi podataka
TikTok podaci su pohranjeni u dva tipa SQLite baze. Prvi tip baze se sačinjava od podataka s lakim pristupom. Pristupačni podaci nalaze se u hijerarhiji direktorija koja postoji unutar // /sdcard/Android/data/com.zhiliaoapp.musically // direktorija. Te podatke nazivamo lako dostupnima zbog toga što za njihov pristup nisu potrebna korijenska (engl. //root//) prava i stoga su na određeni način lako dostupni.

Drugi tip baze pohranjuje podatke za čiji je pristup potrebno imati korijenski pristup (engl. //root only data//). Forenzički gledano tu su pohranjeni "bogatiji" podaci, a nalaze se u // /data/data/com.
zhiliaoapp.musically// direktoriju, točnije u privatnoj pohrani aplikacije.
==== Lako dostupni podaci ====

S gledišta digitalne forenzike, najrelevantniji su podaci smješteni u poddirektorijima:

  * picture - Sadržava slike u poddirektorijima imenovanim od 0 do 99. Slike odgovaraju predloženom sadržaju
              korisniku aplikacije, odnosno profilnim slikama i uglavnom plakatima iz videozapisa.
  * prefs - Sadrži nekoliko JSON datoteka u kojima se nalaze podaci vezani za  HTTPS protokol koje koristi 
            TikTok, ponajviše imena HTTPS poslužitelja.


==== Korijenski podaci ==== 

Pregledavamo najsmislenije baze podataka s korijenskim pristupom i njihove tablice iz digitalno forenzičkog gledišta, a to su sljedeće:
  * - **Cookies** - Baza podataka kolačića ima samo jednu značajnu tablicu, koja se također naziva //Cookies//. Sadrži kolačiće sesije aplikacije stvorene pristupom Web prikaza. Polja          creation_utc i last_access_utc su nam najzanimljivija polja pohranjena u tablici jer iz njih možemo iščitati vrijeme korištenja aplikacije.
  * - **ss_app_log.db** - Ova baza sadrži //queue// i // event// tablicu. Tablica //queue// koristi se kao red za slanje izvješća o upotrebi i rušenjima aplikacije. Tablica //event// čuva               događaje, uglavnom interne događaje aplikacije, kao i interakciju korisnika s aplikacijom.
  * - **userID_im.db** - Ova baza podataka sadrži podatke o računu identificiranom preko userID-a (19-znamenkasti broj koji predstavlja jedinstvenu identifikaciju korisnika). Relevantni podaci koji se čuvaju u ovoj bazi podataka su poruke koje su razmijenili userID i drugi TikTok korisnici. Poruke se organiziraju u razgovore, gdje je razgovor skup poslanih / primljenih poruka između userID-a i drugog TikToka korisnika. Poruke ne obuhvaćaju samo tekstualne poruke, već i druge formate, poput slika (animiranih ili ne), videozapisa, hashtagove i audio. Zanimljivo, izbrisana poruka i dalje može postojati u bazi podataka, a polje za brisanje predstavlja je li poruka izbrisana (= 1) ili nije (= 0). Slično tome, polje //read_status// označava je li poruka već pročitana (= 1) ili nije (= 0).
  * - **db_im_xx** -  tablica koja sadrži popis korisnika s kojima je userID komunicirao. Sastoji se od dvije tablice, od kojih jedino //SIMPLE_USER// tablica pruža značajne podatke. Ti podaci uključuju odnos userID korisnika i drugih korisnika s kojima je imao interakcije (međusobno se slijede ili ne).

==== XML datoteke ==== 

Sve XML datoteke nalaze se u rezerviranom području aplikacijske memorije te tako zahtijevaju root privilegije za pristup. Trenutno Autopsy ne sadržava module koji mogu pristupiti njihovom sadržaju.
==== TikTok modul za Autopsy Android Analyzer ====

Autopsy pruža podršku za operacijski sustav Android putem svog Android Analyzer okruženja, koje omogućuje razvoj modula za izdvajanje i analizu iz forenzičnih slika. U svrhu izdvajanja TikTok specifičnih podataka s Androida OS slike, razvijen je Tiktok.py, python modul za Android Analyzer, dostupan na [[https://github.com/labcif/T4AA]]. Trenutno modul parsira i dohvaća podatke iz userID_im.db i db_im_xx baze podataka, ali cilj developera je pružiti daljnju podršku za druge baze podataka koje sadrže značajne forenzičke artefakte za XML datoteke koje sadrže važne podatke za digitalnu forenziku.





===== Analiza podataka korištenjem Oxygen Forensic® Detective =====

Oxygen Forensic® Detective je forenzička softverska platforma izgrađena za izdvajanje, dekodiranje i analizu podataka iz više digitalnih izvora: mobilnih i IoT uređaja, sigurnosnih kopija uređaja, UICC i medijskih kartica, dronova i usluga u oblaku. Oxygen Forensic® Detective također može pronaći i izvući širok raspon artefakata, sistemskih datoteka kao i vjerodajnice s Windows, MacOS i Linux strojeva [4]. Za razliku od Autopsy-a, Oxygen se plaća.

Iz iOS pametnog telefona, pomoći Qxygen alata se mogu dobiti detaljni podaci o računu, uključujući korisničko ime, stvarno ime, sliku profila, opis glavnog računa i sve dodatne opise koji su prethodno prijavljeni s uređaja. Dakle, čak i ako je netko koristio nekoliko računa prije nego što je koristilo telefon koji je sada pod istragom, istražitelj i dalje može otkriti njihove prethodne račune i aktivnosti. Također možemo izvući i popis kontakata koji uključuje sljedbenike, ne-sljedbenike kao i izbrisane kontakte. Istražitelji također mogu izdvojiti kolačiće i predmemoriju, uključujući slike, videozapise, veze i zapisnike, podatke o chatu te čak i izbrisane poruke. Kako izgledaju prikupljeni podaci u alatu možete vidjeti na slici ispod koja je preuzeta sa stranice [[https://blog.oxygen-forensic.com/whos-knocking-tiktok/]] . 

{{ :racfor_wiki:picture1.png?400 |}}

Za Android uređaje, Qxygen alatom možemo izvući sve prethodne podatke kao i korisnička preuzimanja, povijest aktivnosti, zvučne datoteke te sve hashtagove koje su korisnici koristili, ali i pretraživali [5]. Kako izgledaju prikupljeni podaci u alatu za Android možete vidjeti na slici ispod koja je također preuzeta sa stranice [[https://blog.oxygen-forensic.com/whos-knocking-tiktok/]] .

{{ :racfor_wiki:picture2.png?400 |}}



===== Zaključak =====

Neovisno o tome koje alate koristimo, TikTok podaci pohranjeni na pametnom računalu mogu pružiti veliki uvid u korisnikov život. Iako Oxygen alat ima veću mogućnost parsiranja podataka, besplatan alat Autopsy također može parsirati sve konverzacije koje je userID imao s drugim korisnicima pa čak i izbrisane poruke na izbrisanim računima. Premda je TikTok kontroverzna aplikacija zbog traženja većih prava pristupa resursima pametnog telefona, upravo to njene podatke čini bogatima i optimalnim za forenzičku analizu.

===== Literatura =====

[1] [[https://www.investopedia.com/what-is-tiktok-4588933|Deborah Dsouza. What is TikTok?. Feb 10, 2020.]]

[2] [[https://dl.acm.org/doi/pdf/10.1145/3407023.3409203|Patricio Domingues, Ruben Nogueira, José Carlos Francisco, and Miguel Frade. 2020. Post-mortem digital forensic artifacts of TikTok Android App. In The 15th International Conference on Availability, Reliability and Security (ARES 2020), August 25–28, 2020.]]

[3] [[https://www.autopsy.com/about/| Autopsy official Web page]]

[4] [[https://www.oxygen-forensic.com/en/products/oxygen-forensic-detective | Qxygen Forensic Detective official Web page]]

[5] [[https://blog.oxygen-forensic.com/whos-knocking-tiktok/|OXYGEN.FORENSICS. Who’s Knocking: TikTok. Oct 24, 2019.]]