π± MOBILE FORENSICS β Hierarki Akuisisi & Tools
Prinsip utama: Yang menentukan βlevelβ forensik bukan toolnya β tapi metode akuisisi yang dipakai. Tool mahal seperti Cellebrite UFED bisa operate di Level 1 (logical biasa) atau Level 4 (exploit-based), tergantung kondisi device. Tool yang sama, output yang sangat berbeda.
Hubungan ke Vault
Ini adalah ekstensi dari Data Recovery Forensik dan Tools Comparison β tapi mobile punya attack surface, filesystem, dan acquisition method yang sama sekali berbeda dari storage tradisional (HDD/SSD).
Mengapa Mobile Berbeda dari PC Forensics
PC Forensics:
β Storage terpisah (HDD/SSD) β bisa dicabut, diimaging
β File system relatif terbuka (NTFS, ext4)
β Write-blocker β dd/ddrescue β selesai
β Enkripsi opsional (BitLocker)
Mobile Forensics:
β Storage soldered β tidak bisa dicabut tanpa chip-off
β Full disk encryption ON by default (Android 6+, iOS 8+)
β Secure Enclave / TEE menyimpan kunci β tidak bisa brute force dari luar
β Boot lock, USB debugging off by default
β Cloud sync = data bisa ada di mana-mana selain device
Implikasi:
Setiap "level" akuisisi di mobile jauh lebih sulit
dibanding level yang sama di PC forensics
Hierarki Akuisisi Mobile β Level 0 sampai Level 7
| Level | Metode | Yang Didapat | Syarat | Tools | Keterbatasan |
|---|---|---|---|---|---|
| Level 0 β Manual / UI | Foto layar, screenshot manual, scroll dan rekam | Apa yang terlihat di layar saja | Device nyala, layar bisa diakses | Kamera, mata manusia | Paling terbatas, tidak ada metadata, mudah di-manipulasi |
| Level 1 β Logical | Backup via ADB (Android) atau iTunes/Finder (iOS) | App data yang di-backup, kontak, pesan, foto (tergantung backup setting) | USB debugging ON (Android), Trust This Computer (iOS) | MOBILedit, Oxygen, Magnet AXIOM, UFED | Tidak semua app di-backup, data terenkripsi end-to-end tidak masuk, tergantung izin backup per-app |
| Level 2 β Advanced Logical | Full file system via ADB (rooted), AFC2 (jailbroken iOS), cloud extraction | Lebih lengkap dari backup biasa β termasuk app yang opt-out backup | Root access (Android) atau Jailbreak (iOS) | Cellebrite UFED, Oxygen, MOBILedit, XRY | Device harus sudah di-root/jailbreak sebelumnya, atau via exploit |
| Level 3 β File System via Exploit | Gunakan exploit untuk bypass lockscreen atau elevate privilege tanpa root permanen | File system penuh, database SQLite tiap app, deleted artifacts | Exploit tersedia untuk versi OS target | Cellebrite UFED Premium, GrayKey, Checkm8 (iOS), MOBILedit (beberapa Android) | Exploit spesifik per device/OS β tidak ada βsatu exploit untuk semuaβ |
| Level 4 β Physical / Full Physical | Dump memory chip secara langsung β bit-for-bit image dari storage | Semua yang ada di storage termasuk deleted space, slack space | EDL Mode (Qualcomm), MTK bypass, atau JTAG | UFED Premium, XRY, MSAB, Oxygen (beberapa device) | Enkripsi penuh berarti physical dump masih terenkripsi β butuh kunci dari device |
| Level 5 β JTAG / ISP | Akses langsung ke memory chip via debug port (JTAG) atau In-System Programming | Raw memory dump sebelum/tanpa software intervention | Akses fisik ke board, skill soldering, pinout documentation | JTAGulator, RIFF Box, Easy-JTAG, ISP adapter | Risiko merusak device, butuh pinout yang tepat, masih dapat raw encrypted data |
| Level 6 β Chip-Off | Desolder chip NAND dari board, baca langsung dengan programmer | Raw encrypted memory tanpa boot proses | Lab equipment, hot air station, NAND programmer | UP-828, Flashcat, TNM programmer | Data masih terenkripsi, key encryption ada di Secure Element yang tidak ikut dicabut |
| β οΈ Level 7 β Secure Element Attack | Serangan terhadap chip yang menyimpan kunci enkripsi (Apple Secure Enclave, Google Titan M) | Kunci dekripsi untuk unlock seluruh storage | Lab forensik negara, side-channel attack capability | Tidak ada tool komersial | Hampir mustahil untuk consumer hardware modern β domain intelligence agency |
Posisi MOBILedit dalam Hierarki
MOBILedit Forensic Express Pro:
β
Level 1 β Logical acquisition (kuat, interface bagus)
β
Level 2 β Advanced logical (beberapa device dengan kondisi tertentu)
β οΈ Level 3 β Sebagian (tergantung device database yang mereka punya)
β Level 4+ β Tidak di-support
[Keyakinan sedang] β kapabilitas berubah setiap update,
verifikasi langsung di mobiledit.com/mobiledit-forensic untuk versi terkini
Kelebihan MOBILedit vs kompetitor:
β Price point lebih terjangkau dari Cellebrite UFED
β UI yang relatif mudah untuk non-expert
β Good untuk: logical extraction, app parsing, report generation
β Support banyak device termasuk feature phone lama
Kelemahan:
β Tidak support exploit-based extraction seperti UFED Premium / GrayKey
β iOS support lebih terbatas dibanding Android
β Update database device tidak secepat Cellebrite
Perbandingan Tools β Head to Head
| Tool | Developer | Level Support | iOS | Android | Harga Approx | Target User |
|---|---|---|---|---|---|---|
| Cellebrite UFED | Cellebrite (Israel) | Level 1β4 | β Sangat kuat | β Sangat kuat | $15,000-40,000/tahun | Law enforcement, gov |
| Cellebrite Premium | Cellebrite | Level 3β4 (exploit) | β Kunci utama iOS | β | Add-on UFED, sangat mahal | Law enforcement khusus |
| GrayKey | Grayshift (US) | Level 3β4 | β iOS specialist | β οΈ Terbatas | $18,000+ | Law enforcement US |
| Oxygen Forensic Detective | Oxygen Forensics (US) | Level 1β3 | β Baik | β Sangat baik | $2,000-8,000 | Forensic lab, enterprise |
| Magnet AXIOM | Magnet Forensics (Canada) | Level 1β3 | β Baik | β Baik | $4,000-10,000/tahun | Investigator, enterprise |
| MOBILedit Forensic | Compelson (Czech) | Level 1β3 | β οΈ Terbatas | β Baik | $1,000-3,000 | SME, lab menengah |
| XRY (MSAB) | MSAB (Sweden) | Level 1β4 | β Kuat | β Kuat | $10,000-25,000 | Law enforcement EU |
| Belkasoft Evidence Center | Belkasoft (US/Russia) | Level 1β3 | β Baik | β Baik | $3,000-8,000 | Investigator |
| Andriller CE | Andriller | Level 1β2 | β | β | Gratis / $250 | Hobbyist, researcher |
| ADB + Manual | Google (ADB tools) | Level 1β2 | β | β (rooted) | Gratis | Researcher, DIY |
Harga adalah estimasi dan berubah β verifikasi langsung ke vendor
[Keyakinan rendah] untuk angka harga β lisensi enterprise sangat bervariasi tergantung negosiasi dan region.
Platform-Specific: iOS vs Android
iOS Forensics β Lebih Terlindungi
Tantangan utama iOS:
1. Secure Enclave (chip terpisah) menyimpan kunci enkripsi
β Tidak bisa extract kunci tanpa unlock device
2. USB Restricted Mode (iOS 11.4.1+)
β USB tidak bisa transfer data setelah 1 jam tanpa unlock
3. Full Disk Encryption default sejak iOS 8
4. GrayKey dan Cellebrite Premium menggunakan exploit
β Tapi Apple patch exploit dengan cepat di iOS baru
Timeline penting:
β iOS < 16: GrayKey bisa full file system di banyak device
β iOS 17+: jauh lebih susah, exploit lebih sedikit
β iPhone dengan chip A17+: hampir tidak ada tool komersial yang bisa
Alternatif jika device terkunci:
β iTunes backup (jika backup pernah dibuat dan tidak terenkripsi)
β iCloud backup (butuh Apple ID credential)
β MDM profile (jika device di-manage corporate)
Android Forensics β Lebih Variatif
Android lebih beragam tergantung vendor:
Samsung:
β EDL mode via Test Point di beberapa model lama
β Samsung FRP bypass lebih banyak dokumentasinya
β Knox security di flagship sangat ketat
Qualcomm chipset:
β EDL (Emergency Download Mode) β accessible via 9008 port
β UFED, Oxygen bisa physical extraction via EDL
β Butuh bypass QFuse (security fuse) di device modern
MediaTek chipset:
β Bacaclod / preloader exploit pada versi lama
β MTK bypass tools (banyak yang tidak resmi)
Praktis untuk Level 1-2:
β ADB backup: adb backup -apk -shared -all -f backup.ab
β Root + TWRP: dd if=/dev/block/mmcblk0 of=/sdcard/fullimage.img
β Frida + script: instrument app runtime untuk extract data
Acquisition Decision Flow
DEVICE DITEMUKAN
β
βΌ
Device nyala?
β
YAββββββββββNO
β β
βΌ βΌ
Layar terbuka? Coba nyalakan?
β β JANGAN! Mungkin auto-encrypt saat boot
β β Airplane mode, masukkan Faraday bag
β β Bawa ke lab
β
YAββββββββββNO
β β
βΌ βΌ
Screenshot + USB Restricted Mode?
Backup cepat β
(Level 0-1) YAββββββββββNO
β β
βΌ βΌ
Faraday bag ADB backup
tunggu (Level 1)
forensik lab β
Rooted/Jailbroken?
β
YAββββββNO
β β
βΌ βΌ
Full FS Coba exploit
(Level 2) database tool
(Level 3)
Artifact yang Bisa Didapat per Level
Level 1 (Logical):
β
Kontak, SMS, Call log
β
Foto dan video (yang di backup)
β
Browser history (tergantung app)
β
Beberapa app data
β Deleted data
β App yang opt-out backup
β Keychain / credential store
Level 2 (Advanced Logical / File System):
β
Semua di Level 1
β
Database SQLite tiap app (pesan, activity)
β
Cache dan thumbnail (termasuk yang sudah "dihapus" dari gallery)
β
Keychain (iOS, jika full FS access)
β
Location history (com.apple.routined, Google Timeline)
β οΈ Deleted data β tergantung apakah sudah di-overwrite
Level 3 (Physical / Exploit):
β
Semua di Level 2
β
Deleted artifacts (unallocated space scan)
β
App yang tidak di-backup
β
Credential yang di-cache
β
Artifacts forensik yang biasanya tersembunyi
Level 4+ (JTAG/Chip-off):
β
Raw dump β semua yang pernah ada
β οΈ TAPI: masih terenkripsi jika tanpa kunci dari Secure Element
β Untuk device modern: raw dump tidak berguna tanpa kunci
Open Source / Gratis untuk Research
Android:
βββ ADB (Android Debug Bridge) β Google, gratis
β adb backup, adb pull, adb shell
βββ Andriller CE β community edition, gratis
β logical extraction + basic parsing
βββ MVT (Mobile Verification Toolkit) β Amnesty Tech
β deteksi spyware (Pegasus, dll) di iOS/Android backup
β github.com/mvt-project/mvt
βββ Frida β dynamic instrumentation
intercept runtime app untuk extract data
iOS:
βββ libimobiledevice β open source iTunes protocol
β idevicebackup2 untuk backup tanpa iTunes
βββ idevicepair, ideviceinfo β device info
βββ MVT untuk analisis backup
Analisis Artifact:
βββ Autopsy β GUI forensik, bisa parse mobile backup
βββ ALEAPP (Android Logs, Events, And Protobuf Parser)
β python script, parse Android artifacts
β github.com/abrignoni/ALEAPP
βββ iLEAPP (iOS equivalent dari ALEAPP)
github.com/abrignoni/iLEAPP
Koneksi ke Kasus Nyata
SCENARIO 1 β Perusahaan kehilangan device karyawan:
Level yang dibutuhkan : 1-2 (data corporate)
Tools yang tepat : MDM remote wipe ATAU MOBILedit/Oxygen
untuk extract data sebelum wipe
SCENARIO 2 β Investigasi criminal (polisi):
Level yang dibutuhkan : 2-4 (tergantung kunci / enkripsi)
Tools yang tepat : Cellebrite UFED + GrayKey (iOS)
Oxygen + EDL (Android Qualcomm)
SCENARIO 3 β Peneliti security check device sendiri:
Level yang dibutuhkan : 1-3
Tools yang tepat : ADB + ALEAPP/iLEAPP (gratis)
MVT untuk cek spyware
SCENARIO 4 β Recover foto dari HP yang layarnya mati:
Level yang dibutuhkan : 1-2 (jika backup ada) atau 5 (JTAG)
Tools yang tepat : Coba backup dulu via ADB blind
Kalau gagal β JTAG (lab)
Yang Paling Worth untuk Dipelajari Sekarang
Tanpa budget untuk Cellebrite/GrayKey:
- ADB commands β gratis, powerful untuk Android yang USB debugging ON
- MVT β open source, deteksi spyware di backup, dipakai Amnesty International
- ALEAPP/iLEAPP β parse artifact dari backup tanpa tool mahal
- Frida β bukan forensik tool tapi bisa extract data dari running app
Kombinasi ini sudah cukup untuk 60-70% kasus research dan investigasi internal. [Keyakinan sedang] β tergantung device dan kondisi.
Legal Boundary yang Harus Dipahami
Mobile forensics sangat sensitif secara hukum:
- Di Indonesia: UU ITE dan UU PDP mengatur akses data pribadi
- Melakukan akuisisi tanpa izin pemilik / tanpa surat perintah = pelanggaran
- Bahkan untuk device sendiri: beberapa exploit bisa void warranty
- Penelitian harus di device sendiri atau dengan consent tertulis yang jelas
π Lihat Juga
- Data Recovery & Forensics β PC/HDD forensics sebagai pembanding
- Tools Comparison β tools recovery general
- Endpoint Security β Secure Enclave dan hardware security
- Kriptografi β enkripsi yang bikin mobile forensics susah
- Embedded Systems β JTAG dan chip-off connection
- Master Index
Mobile Forensics | Level 0 (Manual) β Level 7 (Secure Element) Β· MOBILedit Β· Cellebrite Β· GrayKey Β· iOS vs Android Β· Open Source Path