SmartTV Forensics

Nederlands Forensisch [email protected]@holmes.nl

11 april 2017

SmartTV Forensics

M. Roeloffs

A. Boztas

SmartTV Forensic- 11 april 2017

SmartTV Forensic- 11 april 2017

Agenda

• Inleiding

• Materiaal en methoden

• Data acquisitie

• Data analyse

• Toekomst

• Conclusie

SmartTV Forensic- 11 april 2017

Inleiding

SmartTV Forensic- 11 april 2017

Inleiding

Onderzoeksvragen:

• Kan een Smart TV een belangrijke component worden in een digitaal forensische onderzoek?

• Is het mogelijk om data van een Smart TV veilig te stellen?

• Kan een Smart TV relevante data bevatten?

SmartTV Forensic- 11 april 2017

Materiaal en methoden

• literatuuronderzoek

• selectie Smart TV

• data acquisitie

• data-analyse • System information and settings

• Apps

• Web browsing

• Photo and multimedia files

• External media

• Cloud services

• Channel information

SmartTV Forensic- 11 april 2017

SmartTV

• UE40F7000SLXXN

• Camera, microfoon

SmartTV Forensic- 11 april 2017

Data acquisitie: Vijf draden methode

• De meeste embedded systemen gebruik(t)en eMMC chips

• eMMC is hetzelfde als een MMC kaart

• Maar 3 signalen + Voeding nodig om uit te lezen

• Controller, er wordt een disk image gemaakt, geen ruwe kopie van NAND

SmartTV Forensic- 11 april 2017

Data acquisitie: Vijf draden methode

Aansluiten d.m.v. microSDSD kaart omzetter

Draden:

D0 Geel

GND Zwart

CLK Blauw

VCC Rood

CMD Groen

9

SmartTV Forensic- 11 april 2017

Data acquisitie: Vijf draden methode

SmartTV Forensic- 11 april 2017

Data acquisitie: Vijf draden methode

Werkt met externe voeding

SmartTV Forensic- 11 april 2017

Data acquisitie: NFI Memory Toolkit

• Chipoff• Desolderen van de

eMMC chip• Uitlezen met de

NFI Memory Toolkit II• Bij bijna alle embedded

apparatuur mogelijk, nog steeds last van crypto.

SmartTV Forensic- 11 april 2017

Data acquisitie: App

• Smart TV’s zijn “gewone” computers

• Werken vaak met

besturingssysteem

linux

• “Rooten”

SmartTV Forensic- 11 april 2017

Data acquisitie: App

• SamyGO forum op internet

• Veel mogelijkheden voor “rooten”

• Mogelijk om Smart TV te gebruiken als bittorrent client etc.

SmartTV Forensic- 11 april 2017

Data acquisitie: App

• SamyGO method

• Install the Skype App from the Samsung App store.

• Start the Skype app

• Set the Skype app to autostart

• Install the SamyGO widget.

• Download the SamyGO_usb widget.

• Place the SamyGO folder on a USB flash drive.

• Navigate to “more apps” and insert the USB flash drive.

• Start the SamyGO widget

• NFI app

• Deze root werkt niet meer, maar er is een andere versie

SmartTV Forensic- 11 april 2017

Data acquisitie

5 draden

Snelle methode, herhaalbaar

Chipoff

Duurt langer, herhaalbaarheid wordt steeds beter

App

Snelle methode, maar werkt niet op alle firmware versies

SmartTV Forensic- 11 april 2017

BESTANDSSYSTEEM ANALYSE

SmartTV Forensic- 11 april 2017

Chip dump image analyse

- Partitie schema, normaal DOS

- 24 partities

Content analyse

- Squashfs

- U-images

- unknown

SmartTV Forensic- 11 april 2017

Bestandssysteem analyse

Squashfs

• Read-only

• Software van Samsung Open Source Release Center

• Aanpassing image verificatie en compressie methode

U-Boot legacy uImage

• U-Boot is een universele bootloader

Samsung eMMC

• Samsung chip oriented file system

• Lijkt op een BTRFS variant, journaling, snapshotting

• Magic ‘1eMMCFS`

Partition redundancy

• sommige partities hebben dezelfde grootte

• gebruikt om Software resetten

SmartTV Forensic- 11 april 2017

Bestandssysteem analyse

SmartTV Forensic- 11 april 2017

eMMCfs & Redundancy

- Project linux voor ARM

- Source code in samsungs opensource center

In de toekomst indien nodig, filesystem;

- Timestamps

- Logging

- Snapshotting

Meeste partities uitgevoerd in duo’s, i.v.m. met reset/update

SmartTV Forensic- 11 april 2017

Data analyse: Systeem en netwerkinformatie

• device naam

• connected devices

• Netwerk informatie

• smart functionaliteiten

SmartTV Forensic- 11 april 2017

Data analyse: System en netwerkinformatie

• System informatie:

• Serienummer

• Model

• Merk

• uniekiD

• Etc.

• Netwerk informatie:

• informatie over netwerknaam

• IP-adressen

• bluetooth apparaten

• MAC-adres

SmartTV Forensic- 11 april 2017

Data analyse: Apps

• Facebook

• Twitter

• YouTube, etc.

SmartTV Forensic- 11 april 2017

Data-analyse: Apps

• naam

• Datums

• screenshots

• Gebruikers gerelateerde informatie

SmartTV Forensic- 11 april 2017

Data-analyse: Apps

SmartTV Forensic- 11 april 2017

Data-analyse: Apps

SmartTV Forensic- 11 april 2017

Data-analyse: Webbrowsing

• bezochte websites

• web geschiedenis

• info over zoekmachines

• bookmarks

• cookies

• etc.

SmartTV Forensic- 11 april 2017

Data-analyse: Webbrowsing

settings.db bevindt zich in p24/webkit/WebBrowser.

• SQLite database

• bevat 14 tabellen

Relevante tabellen:

• FullBrowserHistory:

• fullBrowser_HiddenHistory:

• fullBrowser_Bookmark:

• fullBrowser_Search:

SmartTV Forensic- 11 april 2017

Data-analyse: Webbrowsing

SmartTV Forensic- 11 april 2017

Data-analyse: Foto en multimedia files

• The file .CM.db in p22

• SQLite database

• bevat 20 tabellen

• informatie over audio, foto’s en video bestanden

• Wanneer bestanden zijn geopend, afgespeeld etc.

Relevante tabellen:

• PhotoTable

• MusicTable

• VideoTable

• FileTable

• p22/RecentlyPlayed bevat bestanden met .mta extensie.

SmartTV Forensic- 11 april 2017

Data-analyse: Foto en multimedia bestanden

SmartTV Forensic- 11 april 2017

Data-analyse: External media

• device0013.db bevindt zich in in de root van p22

• SQLite database

• bevat een tabel TABLE_DEVID.

• informatie over USB flash drives

SmartTV Forensic- 11 april 2017

Data-analyse: Zender informatie

• p16/map-AirA, map-AirD, map-CableA, map-CableD, map-SateD

• p22/.EPG.db; SQLite database en bevat Electronic Program Guide

• Wegens tijdgebrek niet verder onderzocht

SmartTV Forensic- 11 april 2017

Data-analyse: Cloud services

• url

• foto’s

• videos

• gebruikersnamen

• etc,

SmartTV Forensic- 11 april 2017

Conclusie

• Een Smart TV is eigenlijk een computer en kan met dezelfde forensische toolset bekeken worden

• veiligstellen is mogelijk

• Een Smart TV kan relevante digitale sporen bevatten

• Relevante info is meestal in SQLite databases

• Criminelen kunnen het misbruiken. Bijv: Kinderporno, botnet, etc.

SmartTV Forensic- 11 april 2017

Toekomst

• 5 draden methode verder onderzoeken

• andere merken en modellen Smart TV onderzoeken

• uitgebreider data-analyse onderzoek

• App ontwikkelen voor het veiligstellen van data

• memory dump maken

• netwerkactiviteiten analyseren

SmartTV Forensic- 11 april 2017

SmartTV Forensic- 11 april 2017

Vragen