Brottslingar skadar ibland sina mobiltelefoner i ett försök att förstöra bevis. De kan krossa, skjuta, sänka eller laga sina telefoner, men kriminaltekniska experter kan ofta hämta bevisen ändå. Nu, forskare vid National Institute of Standards and Technology (NIST) har testat hur väl dessa kriminaltekniska metoder fungerar.

En skadad telefon kanske inte slås på, och dataporten kanske inte fungerar, så experter använder hård- och mjukvaruverktyg för att direkt komma åt telefonens minneskretsar. Dessa inkluderar hackningsverktyg, om än sådana som lagligen kan användas som en del av en brottsutredning. Eftersom dessa metoder producerar data som kan presenteras som bevis i domstol, det är viktigt att veta om de kan lita på.

"Vårt mål var att testa giltigheten av dessa metoder, " sa Rick Ayers, NIST:s digitala kriminaltekniska expert som ledde studien. "Går de tillförlitligt korrekta resultat?"

Resultaten av NIST-studien kommer också att hjälpa laboratorier att välja rätt verktyg för jobbet. Vissa metoder fungerar bättre än andra, beroende på typ av telefon, typen av data och skadans omfattning.

Studien tar upp metoder som fungerar med Android-telefoner. Också, studien omfattade endast metoder för att komma åt data, inte dekryptera det. Dock, de kan fortfarande vara användbara med krypterade telefoner eftersom utredare ofta lyckas få lösenkoden under sin undersökning.

För att genomföra studien, NIST-forskare laddade data på 10 populära modeller av telefoner. De extraherade sedan uppgifterna eller lät externa experter extrahera uppgifterna åt dem. Frågan var:Skulle de extraherade data exakt matcha originaldata, utan några ändringar?

För att studien ska vara korrekt, forskarna kunde inte bara zappa en massa data på telefonerna. De var tvungna att lägga till uppgifterna som en person normalt skulle göra. De tog bilder, skickade meddelanden och använde Facebook, LinkedIn och andra appar för sociala medier. De skrev in kontakter med flera mellannamn och konstigt formaterade adresser för att se om några delar skulle huggas av eller förloras när data hämtades. De lade till GPS-data genom att köra runt på stan med alla telefoner på instrumentbrädan.

Efter att forskarna hade laddat in data på telefonerna, de använde två metoder för att extrahera det. Den första metoden utnyttjar det faktum att många kretskort har små metalluttag som ger tillgång till data på chipsen. Tillverkare använder dessa kranar för att testa sina kretskort, men genom att löda ledningar på dem, kriminaltekniska utredare kan extrahera data från chipsen. Detta kallas JTAG-metoden, för Joint Task Action Group, den tillverkningsindustriorganisation som kodifierade denna testfunktion.

Chips ansluts till kretskortet via små metallstift, och den andra metoden, kallas "chip-off, " involverar att ansluta till dessa stift direkt. Experter brukade göra detta genom att försiktigt plocka chipen från brädet och placera dem i chipläsare, men stiften är ömtåliga. Om du skadar dem, att få information kan vara svårt eller omöjligt. Några år sedan, experter fann att istället för att dra chipsen från kretskortet, de kunde slipa ner den motsatta sidan av brädan på en svarv tills tapparna var blottade. Det här är som att ta bort isolering från en tråd, och det ger åtkomst till stiften.

"Det verkar så uppenbart, " sa Ayers. "Men det är en av de sakerna där alla bara gjorde det på ett sätt tills någon kom på ett enklare sätt."

Chip-off-extraktionerna utfördes av Fort Worth Police Department Digital Forensics Lab och ett privat kriminaltekniskt företag i Colorado som heter VTO Labs, som skickade tillbaka den extraherade datan till NIST. NIST-datavetaren Jenise Reyes-Rodriguez gjorde JTAG-extraktionerna.

Efter att datautvinningen var klar, Ayers och Reyes-Rodriguez använde åtta olika kriminaltekniska mjukvaruverktyg för att tolka rådata, skapa kontakter, platser, texter, foton, sociala medier data, och så vidare. De jämförde sedan dessa med data som ursprungligen laddades in på varje telefon.

Jämförelsen visade att både JTAG och chip-off extraherade data utan att ändra den, men att vissa av mjukvaruverktygen var bättre på att tolka data än andra, speciellt för data från appar för sociala medier. Dessa appar förändras ständigt, gör det svårt för verktygsmakarna att hänga med.

Resultaten publiceras i en serie fritt tillgängliga onlinerapporter. Den här studien, och de resulterande rapporterna, är en del av NIST:s Computer Forensics Tool Testing-projekt. Kallas CFTT, detta projekt har utsatt ett brett utbud av digitala kriminaltekniska verktyg för rigorös och systematisk utvärdering. Kriminaltekniska laboratorier runt om i landet använder CFTT-rapporter för att säkerställa kvaliteten på deras arbete.

"Många laboratorier har en överväldigande arbetsbelastning, och några av dessa verktyg är mycket dyra, " Sa Ayers. "Att kunna titta på en rapport och säga, det här verktyget kommer att fungera bättre än det för ett särskilt fall – det kan vara en stor fördel."