Hari ini ada anak bimbingan yang sidang (michelle) dia ngambil tema forensik di Android. Kasusnya di salah satu apps e-payment. Biasanya untuk android musti di root dulu, supaya bisa diakses databasenya. Kemudian mulai dicloning data2nya. Biasanya di folder /root/data/data/ disana ada banyak folder apps. Tinggal dicari folder appsnya. Kemudian tinggal dicari file .db nya. File .db ini kemudian coba dibuka di sql lite. Tentunya dilakukan dulu pengujian integrity test.
Cuman menariknya apps e-payment ini dia pake firebase, sehingga file .db nya hanya sedikit. Jadi agak sedikit ribet untuk proses forensiknya beda dengan apps android lainnya. Firebase ini nyimpen databasenya di cloud. Hasil googling dan nanya2 ada beberapa alternatif untuk ngatasin kasus ini, misalnya melakukan replica aplikasi atau bikin skrip yg nge-patch data dan alamat point Firebase menggunakan API key.nya. Atau ada juga alternatifmelakukan intercept aplikasinya. Untuk meakukan ini SSL pinning nya musti di bypass dulu. Atau bisa juga kita lakukan analisa pake mobSF.
Anaknya dah panik juga karena sampe menjelang sidang, masih belum dapat artefak transaksi. Akhirnya kita bisa coba pendekatan lain, melalui data-data lainnya selain file .db bisa dipelajari dan ditemukan adanya transaksi. Lumayan seru juga sidang hari ini.
referensi:
https://blog.group-ib.com/whatsapp_forensic_artifacts
https://www.raywenderlich.com/3419415-hack-an-android-app-finding-forensic-artifacts
https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/firebase-database