πŸ“± MOBILE FORENSICS β€” Hierarki Akuisisi & Tools

Prinsip utama: Yang menentukan β€œlevel” forensik bukan toolnya β€” tapi metode akuisisi yang dipakai. Tool mahal seperti Cellebrite UFED bisa operate di Level 1 (logical biasa) atau Level 4 (exploit-based), tergantung kondisi device. Tool yang sama, output yang sangat berbeda.

Hubungan ke Vault

Ini adalah ekstensi dari Data Recovery Forensik dan Tools Comparison β€” tapi mobile punya attack surface, filesystem, dan acquisition method yang sama sekali berbeda dari storage tradisional (HDD/SSD).


Mengapa Mobile Berbeda dari PC Forensics

PC Forensics:
β†’ Storage terpisah (HDD/SSD) β€” bisa dicabut, diimaging
β†’ File system relatif terbuka (NTFS, ext4)
β†’ Write-blocker β†’ dd/ddrescue β†’ selesai
β†’ Enkripsi opsional (BitLocker)

Mobile Forensics:
β†’ Storage soldered β€” tidak bisa dicabut tanpa chip-off
β†’ Full disk encryption ON by default (Android 6+, iOS 8+)
β†’ Secure Enclave / TEE menyimpan kunci β€” tidak bisa brute force dari luar
β†’ Boot lock, USB debugging off by default
β†’ Cloud sync = data bisa ada di mana-mana selain device

Implikasi:
Setiap "level" akuisisi di mobile jauh lebih sulit
dibanding level yang sama di PC forensics

Hierarki Akuisisi Mobile β€” Level 0 sampai Level 7

LevelMetodeYang DidapatSyaratToolsKeterbatasan
Level 0 β€” Manual / UIFoto layar, screenshot manual, scroll dan rekamApa yang terlihat di layar sajaDevice nyala, layar bisa diaksesKamera, mata manusiaPaling terbatas, tidak ada metadata, mudah di-manipulasi
Level 1 β€” LogicalBackup via ADB (Android) atau iTunes/Finder (iOS)App data yang di-backup, kontak, pesan, foto (tergantung backup setting)USB debugging ON (Android), Trust This Computer (iOS)MOBILedit, Oxygen, Magnet AXIOM, UFEDTidak semua app di-backup, data terenkripsi end-to-end tidak masuk, tergantung izin backup per-app
Level 2 β€” Advanced LogicalFull file system via ADB (rooted), AFC2 (jailbroken iOS), cloud extractionLebih lengkap dari backup biasa β€” termasuk app yang opt-out backupRoot access (Android) atau Jailbreak (iOS)Cellebrite UFED, Oxygen, MOBILedit, XRYDevice harus sudah di-root/jailbreak sebelumnya, atau via exploit
Level 3 β€” File System via ExploitGunakan exploit untuk bypass lockscreen atau elevate privilege tanpa root permanenFile system penuh, database SQLite tiap app, deleted artifactsExploit tersedia untuk versi OS targetCellebrite UFED Premium, GrayKey, Checkm8 (iOS), MOBILedit (beberapa Android)Exploit spesifik per device/OS β€” tidak ada β€œsatu exploit untuk semua”
Level 4 β€” Physical / Full PhysicalDump memory chip secara langsung β€” bit-for-bit image dari storageSemua yang ada di storage termasuk deleted space, slack spaceEDL Mode (Qualcomm), MTK bypass, atau JTAGUFED Premium, XRY, MSAB, Oxygen (beberapa device)Enkripsi penuh berarti physical dump masih terenkripsi β€” butuh kunci dari device
Level 5 β€” JTAG / ISPAkses langsung ke memory chip via debug port (JTAG) atau In-System ProgrammingRaw memory dump sebelum/tanpa software interventionAkses fisik ke board, skill soldering, pinout documentationJTAGulator, RIFF Box, Easy-JTAG, ISP adapterRisiko merusak device, butuh pinout yang tepat, masih dapat raw encrypted data
Level 6 β€” Chip-OffDesolder chip NAND dari board, baca langsung dengan programmerRaw encrypted memory tanpa boot prosesLab equipment, hot air station, NAND programmerUP-828, Flashcat, TNM programmerData masih terenkripsi, key encryption ada di Secure Element yang tidak ikut dicabut
☠️ Level 7 β€” Secure Element AttackSerangan terhadap chip yang menyimpan kunci enkripsi (Apple Secure Enclave, Google Titan M)Kunci dekripsi untuk unlock seluruh storageLab forensik negara, side-channel attack capabilityTidak ada tool komersialHampir mustahil untuk consumer hardware modern β€” domain intelligence agency

Posisi MOBILedit dalam Hierarki

MOBILedit Forensic Express Pro:

βœ… Level 1 β€” Logical acquisition (kuat, interface bagus)
βœ… Level 2 β€” Advanced logical (beberapa device dengan kondisi tertentu)
⚠️ Level 3 β€” Sebagian (tergantung device database yang mereka punya)
❌ Level 4+ β€” Tidak di-support

[Keyakinan sedang] β€” kapabilitas berubah setiap update,
verifikasi langsung di mobiledit.com/mobiledit-forensic untuk versi terkini

Kelebihan MOBILedit vs kompetitor:
β†’ Price point lebih terjangkau dari Cellebrite UFED
β†’ UI yang relatif mudah untuk non-expert
β†’ Good untuk: logical extraction, app parsing, report generation
β†’ Support banyak device termasuk feature phone lama

Kelemahan:
β†’ Tidak support exploit-based extraction seperti UFED Premium / GrayKey
β†’ iOS support lebih terbatas dibanding Android
β†’ Update database device tidak secepat Cellebrite

Perbandingan Tools β€” Head to Head

ToolDeveloperLevel SupportiOSAndroidHarga ApproxTarget User
Cellebrite UFEDCellebrite (Israel)Level 1–4βœ… Sangat kuatβœ… Sangat kuat$15,000-40,000/tahunLaw enforcement, gov
Cellebrite PremiumCellebriteLevel 3–4 (exploit)βœ… Kunci utama iOSβœ…Add-on UFED, sangat mahalLaw enforcement khusus
GrayKeyGrayshift (US)Level 3–4βœ… iOS specialist⚠️ Terbatas$18,000+Law enforcement US
Oxygen Forensic DetectiveOxygen Forensics (US)Level 1–3βœ… Baikβœ… Sangat baik$2,000-8,000Forensic lab, enterprise
Magnet AXIOMMagnet Forensics (Canada)Level 1–3βœ… Baikβœ… Baik$4,000-10,000/tahunInvestigator, enterprise
MOBILedit ForensicCompelson (Czech)Level 1–3⚠️ Terbatasβœ… Baik$1,000-3,000SME, lab menengah
XRY (MSAB)MSAB (Sweden)Level 1–4βœ… Kuatβœ… Kuat$10,000-25,000Law enforcement EU
Belkasoft Evidence CenterBelkasoft (US/Russia)Level 1–3βœ… Baikβœ… Baik$3,000-8,000Investigator
Andriller CEAndrillerLevel 1–2βŒβœ…Gratis / $250Hobbyist, researcher
ADB + ManualGoogle (ADB tools)Level 1–2βŒβœ… (rooted)GratisResearcher, DIY

Harga adalah estimasi dan berubah β€” verifikasi langsung ke vendor

[Keyakinan rendah] untuk angka harga β€” lisensi enterprise sangat bervariasi tergantung negosiasi dan region.


Platform-Specific: iOS vs Android

iOS Forensics β€” Lebih Terlindungi

Tantangan utama iOS:
1. Secure Enclave (chip terpisah) menyimpan kunci enkripsi
   β†’ Tidak bisa extract kunci tanpa unlock device
2. USB Restricted Mode (iOS 11.4.1+)
   β†’ USB tidak bisa transfer data setelah 1 jam tanpa unlock
3. Full Disk Encryption default sejak iOS 8
4. GrayKey dan Cellebrite Premium menggunakan exploit
   β†’ Tapi Apple patch exploit dengan cepat di iOS baru

Timeline penting:
β†’ iOS < 16: GrayKey bisa full file system di banyak device
β†’ iOS 17+: jauh lebih susah, exploit lebih sedikit
β†’ iPhone dengan chip A17+: hampir tidak ada tool komersial yang bisa

Alternatif jika device terkunci:
β†’ iTunes backup (jika backup pernah dibuat dan tidak terenkripsi)
β†’ iCloud backup (butuh Apple ID credential)
β†’ MDM profile (jika device di-manage corporate)

Android Forensics β€” Lebih Variatif

Android lebih beragam tergantung vendor:

Samsung:
β†’ EDL mode via Test Point di beberapa model lama
β†’ Samsung FRP bypass lebih banyak dokumentasinya
β†’ Knox security di flagship sangat ketat

Qualcomm chipset:
β†’ EDL (Emergency Download Mode) β€” accessible via 9008 port
β†’ UFED, Oxygen bisa physical extraction via EDL
β†’ Butuh bypass QFuse (security fuse) di device modern

MediaTek chipset:
β†’ Bacaclod / preloader exploit pada versi lama
β†’ MTK bypass tools (banyak yang tidak resmi)

Praktis untuk Level 1-2:
β†’ ADB backup: adb backup -apk -shared -all -f backup.ab
β†’ Root + TWRP: dd if=/dev/block/mmcblk0 of=/sdcard/fullimage.img
β†’ Frida + script: instrument app runtime untuk extract data

Acquisition Decision Flow

DEVICE DITEMUKAN
        β”‚
        β–Ό
Device nyala?
        β”‚
   YA──────────NO
   β”‚            β”‚
   β–Ό            β–Ό
Layar terbuka? Coba nyalakan?
   β”‚            β†’ JANGAN! Mungkin auto-encrypt saat boot
   β”‚            β†’ Airplane mode, masukkan Faraday bag
   β”‚            β†’ Bawa ke lab
   β”‚
   YA──────────NO
   β”‚            β”‚
   β–Ό            β–Ό
Screenshot +  USB Restricted Mode?
Backup cepat     β”‚
(Level 0-1)   YA──────────NO
               β”‚            β”‚
               β–Ό            β–Ό
          Faraday bag    ADB backup
          tunggu         (Level 1)
          forensik lab      β”‚
                        Rooted/Jailbroken?
                            β”‚
                        YA──────NO
                        β”‚       β”‚
                        β–Ό       β–Ό
                   Full FS   Coba exploit
                   (Level 2) database tool
                             (Level 3)

Artifact yang Bisa Didapat per Level

Level 1 (Logical):
βœ… Kontak, SMS, Call log
βœ… Foto dan video (yang di backup)
βœ… Browser history (tergantung app)
βœ… Beberapa app data
❌ Deleted data
❌ App yang opt-out backup
❌ Keychain / credential store

Level 2 (Advanced Logical / File System):
βœ… Semua di Level 1
βœ… Database SQLite tiap app (pesan, activity)
βœ… Cache dan thumbnail (termasuk yang sudah "dihapus" dari gallery)
βœ… Keychain (iOS, jika full FS access)
βœ… Location history (com.apple.routined, Google Timeline)
⚠️ Deleted data β€” tergantung apakah sudah di-overwrite

Level 3 (Physical / Exploit):
βœ… Semua di Level 2
βœ… Deleted artifacts (unallocated space scan)
βœ… App yang tidak di-backup
βœ… Credential yang di-cache
βœ… Artifacts forensik yang biasanya tersembunyi

Level 4+ (JTAG/Chip-off):
βœ… Raw dump β€” semua yang pernah ada
⚠️ TAPI: masih terenkripsi jika tanpa kunci dari Secure Element
β†’ Untuk device modern: raw dump tidak berguna tanpa kunci

Open Source / Gratis untuk Research

Android:
β”œβ”€β”€ ADB (Android Debug Bridge) β€” Google, gratis
β”‚   adb backup, adb pull, adb shell
β”œβ”€β”€ Andriller CE β€” community edition, gratis
β”‚   logical extraction + basic parsing
β”œβ”€β”€ MVT (Mobile Verification Toolkit) β€” Amnesty Tech
β”‚   deteksi spyware (Pegasus, dll) di iOS/Android backup
β”‚   github.com/mvt-project/mvt
└── Frida β€” dynamic instrumentation
    intercept runtime app untuk extract data

iOS:
β”œβ”€β”€ libimobiledevice β€” open source iTunes protocol
β”‚   idevicebackup2 untuk backup tanpa iTunes
β”œβ”€β”€ idevicepair, ideviceinfo β€” device info
└── MVT untuk analisis backup

Analisis Artifact:
β”œβ”€β”€ Autopsy β€” GUI forensik, bisa parse mobile backup
β”œβ”€β”€ ALEAPP (Android Logs, Events, And Protobuf Parser)
β”‚   python script, parse Android artifacts
β”‚   github.com/abrignoni/ALEAPP
└── iLEAPP (iOS equivalent dari ALEAPP)
    github.com/abrignoni/iLEAPP

Koneksi ke Kasus Nyata

SCENARIO 1 β€” Perusahaan kehilangan device karyawan:
Level yang dibutuhkan : 1-2 (data corporate)
Tools yang tepat      : MDM remote wipe ATAU MOBILedit/Oxygen
                        untuk extract data sebelum wipe

SCENARIO 2 β€” Investigasi criminal (polisi):
Level yang dibutuhkan : 2-4 (tergantung kunci / enkripsi)
Tools yang tepat      : Cellebrite UFED + GrayKey (iOS)
                        Oxygen + EDL (Android Qualcomm)

SCENARIO 3 β€” Peneliti security check device sendiri:
Level yang dibutuhkan : 1-3
Tools yang tepat      : ADB + ALEAPP/iLEAPP (gratis)
                        MVT untuk cek spyware

SCENARIO 4 β€” Recover foto dari HP yang layarnya mati:
Level yang dibutuhkan : 1-2 (jika backup ada) atau 5 (JTAG)
Tools yang tepat      : Coba backup dulu via ADB blind
                        Kalau gagal β†’ JTAG (lab)

Yang Paling Worth untuk Dipelajari Sekarang

Tanpa budget untuk Cellebrite/GrayKey:

  1. ADB commands β€” gratis, powerful untuk Android yang USB debugging ON
  2. MVT β€” open source, deteksi spyware di backup, dipakai Amnesty International
  3. ALEAPP/iLEAPP β€” parse artifact dari backup tanpa tool mahal
  4. Frida β€” bukan forensik tool tapi bisa extract data dari running app

Kombinasi ini sudah cukup untuk 60-70% kasus research dan investigasi internal. [Keyakinan sedang] β€” tergantung device dan kondisi.

Legal Boundary yang Harus Dipahami

Mobile forensics sangat sensitif secara hukum:

  • Di Indonesia: UU ITE dan UU PDP mengatur akses data pribadi
  • Melakukan akuisisi tanpa izin pemilik / tanpa surat perintah = pelanggaran
  • Bahkan untuk device sendiri: beberapa exploit bisa void warranty
  • Penelitian harus di device sendiri atau dengan consent tertulis yang jelas

πŸ”— Lihat Juga


Mobile Forensics | Level 0 (Manual) β†’ Level 7 (Secure Element) Β· MOBILedit Β· Cellebrite Β· GrayKey Β· iOS vs Android Β· Open Source Path