Исследователи из американских университетов Пердью и Нового Орлеана представили на Usenix Security Symposium приложение Retroscope, которое называют «новой парадигмой в криминалистике». Retroscope способен извлечь из памяти устройства до 11 сохраненных экранов, которые покажут, чем именно занимался владелец гаджета в 15 разных приложениях, включая Signal, Skype, WeChat, Gmail, Facebook, WhatsApp, Telegram и так далее.
Исследователи рассказали, что были «поражены» тем, насколько незащищена память мобильных приложений. Хотя пользователь ожидает, что информация уничтожается, сразу после отображения на экране, на самом деле, это не совсем так. Готовый «слепок экрана» сохраняется в памяти, чтобы устройство могло быстрее вернуться к закрытому приложению, что повышает производительность.
На конференции Usenix Security Symposium группа представила доклад, озаглавленный «Screen after Previous Screens: Spatial-Temporal Recreation of Android App Displays from Memory Images» (PDF), а также продемонстрировала proof-of-concept видео, на котором показано, как Retroscope может помочь в работе правоохранительных органов. На видео Retroscope извлекает данные из памяти незаблокированного Android-смартфона.
Retroscope работает с пятнадцатью различными приложениям, включая популярные мессенджеры, почту и социальные сети. Он может извлечь из памяти от трех до одиннадцати последних экранов для данных приложений. Исходные коды Retroscope опубликованы на GitHub.
