Всем хай!
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать
Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам.
Это Делимобиль, Яндекс драйв, BelkaCar и You Drive (теперь называется Сити Драйв).
Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить.
Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Мои ставки были примерно такие: лучше всех должен быть защищён Яндекс (ну, это же ЯНДЕКС блин), затем Belka (просто у них очень хорошее приложение само по себе), затем Делимобиль (из-за своей архаики и постоянных глюков) и последний Сити Драйв (поскольку You Drive был куплен Сбером, а после покупки чего-то хорошего Сбером уже ничего хорошего не жди).
Результат меня ОЧЕНЬ УДИВИЛ! О_о
BelkaCar, Делимобиль и Сити Драйв не оставили у меня на смартфоне ничего от слова совсем! Причём, это касается и "логики", и физического дампа. Только модули самих приложений, никаких логов или ещё что-нибудь вроде этого нет.
Ну, разве что You Drive хранил в папке youdrive.today\files\Pictures фотографии самого пользователя, которому необходимо сделать сэлфи, чтобы система допустила его к машине. Такой себе артефакт... Хотя, может кому-то и покажется существенным.
Зато, что мне оставил Яндекс Драйв!
Даже при логическом дампе, в базёнке SQLite в расположении com.yandex.mobile.drive\databases\PassportInternal.db мы обнаружим:
Ещё в поле legacy_extra_data_body есть интересные параметры "is_staff" (типа, является ли сотрудником Яндекса?) и "is_beta_tester" (если необходимо сузить круг поисков до членов программ бета-тестирования у Яндекса
Ну, из существенного это, пожалуй, всё. Но и этого, согласитесь, весьма немало! При учёте, что не нужно даже "физику" со смартфона снимать!
p.s. Думаю, что производителям софта для форензики надо уже добавлять модули для парсинга данных из каршеринговых приложений! Тема-то весьма актуальная! Всякие преступники-злоумышленники уже системно используют каршеринговые автомобили при совершении преступлений! Так что обратите на это внимание.
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать
Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам.
Это Делимобиль, Яндекс драйв, BelkaCar и You Drive (теперь называется Сити Драйв).
Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить.
Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Мои ставки были примерно такие: лучше всех должен быть защищён Яндекс (ну, это же ЯНДЕКС блин), затем Belka (просто у них очень хорошее приложение само по себе), затем Делимобиль (из-за своей архаики и постоянных глюков) и последний Сити Драйв (поскольку You Drive был куплен Сбером, а после покупки чего-то хорошего Сбером уже ничего хорошего не жди).
Результат меня ОЧЕНЬ УДИВИЛ! О_о
BelkaCar, Делимобиль и Сити Драйв не оставили у меня на смартфоне ничего от слова совсем! Причём, это касается и "логики", и физического дампа. Только модули самих приложений, никаких логов или ещё что-нибудь вроде этого нет.
Ну, разве что You Drive хранил в папке youdrive.today\files\Pictures фотографии самого пользователя, которому необходимо сделать сэлфи, чтобы система допустила его к машине. Такой себе артефакт... Хотя, может кому-то и покажется существенным.
Зато, что мне оставил Яндекс Драйв!
Даже при логическом дампе, в базёнке SQLite в расположении com.yandex.mobile.drive\databases\PassportInternal.db мы обнаружим:
- Firstname и Lastname пользователя в Яндекс Драйве
- Дату рождения
- Наличие музыкальной подписки в Яндексе (можно по логину поискать его плейлисты
- Отображаемое имя в Яндексе (не путать с логином)
- Пол
- Логин (login@yandex.ru)
- Ссылку на фотографию или аватар
Ещё в поле legacy_extra_data_body есть интересные параметры "is_staff" (типа, является ли сотрудником Яндекса?) и "is_beta_tester" (если необходимо сузить круг поисков до членов программ бета-тестирования у Яндекса
Ну, из существенного это, пожалуй, всё. Но и этого, согласитесь, весьма немало! При учёте, что не нужно даже "физику" со смартфона снимать!
p.s. Думаю, что производителям софта для форензики надо уже добавлять модули для парсинга данных из каршеринговых приложений! Тема-то весьма актуальная! Всякие преступники-злоумышленники уже системно используют каршеринговые автомобили при совершении преступлений! Так что обратите на это внимание.
