Cosa succede ai file che elimino da uno smartphone? C’è la possibilità di recuperarli dopo un ripristino completo delle impostazioni di fabbrica? E quando finalmente scriverete uno strumento per i dati del mio smartphone? Con la massiccia diffusione degli smartphone, riceviamo sempre più di queste domande ogni settimana. Abbiamo quindi deciso di scrivere l’articolo definitivo per rispondere (speriamo) alla maggior parte di queste domande.
Contenuti
- Gli smartphone sono diversi
- Recupero dati iPhone: Una leggenda metropolitana
- Recupero dati BlackBerry: Un mito
- Recupero dati Android: Stiamo facendo progressi!
- Windows Phone 8 e 8.1: Metà e metà
Gli smartphone sono diversi
Se stai utilizzando uno smartphone, potresti già sapere che ci sono diversi ecosistemi di piattaforme principali. Android e Apple iOS si spartiscono la fetta più grande della torta, Microsoft Windows Phone compete con fervore per un posto sotto il sole, mentre BlackBerry cerca di sopravvivere con il suo BlackBerry OS.
Dire che queste piattaforme gestiscono i dati eliminati in modo diverso non dice nulla. Android e iOS sono letteralmente agli opposti quando si tratta di eliminare (e recuperare) informazioni. In questo articolo, esamineremo come queste piattaforme molto diverse eliminano le informazioni, se possono essere recuperate e cosa esattamente può essere fatto per recuperare dati importanti se ne hai bisogno.
Iniziamo con Apple iOS.
Recupero dati iPhone: Una leggenda metropolitana
Sarà breve. Lo dirò subito: recuperare informazioni cancellate dagli smartphone e tablet Apple (iPhone e iPad) non è tecnicamente possibile. Anche se si effettua il jailbreak. Anche in teoria. Le forze dell’ordine non possono farlo nemmeno utilizzando un kit forense da $10.000. Apple stessa non può farlo, nemmeno se le viene fornito il dispositivo e il codice di accesso. Se si cancella un file da uno smartphone Apple, è perso per sempre. Se si effettua un ripristino di fabbrica, non c’è assolutamente modo per nessuno, compreso l’FBI, di recuperare quelle informazioni. Perché è così?
La risposta sta nella crittografia. A partire da iOS 5, tutti i dispositivi Apple utilizzano una crittografia completa del disco sicura. Tuttavia, c’è un trucco. Ogni blocco di dati sul disco utilizza una chiave di decrittazione unica. Apple ha implementato la crittografia completa del disco in modo che mantenga solo le chiavi di decrittazione per i blocchi di dati occupati (allocati) e scarti immediatamente le chiavi per i blocchi di dati non allocati (rilasciati) che appartengono ai file cancellati. I dati effettivi (criptati) potrebbero ancora essere presenti, ma non c’è assolutamente modo possibile per decifrarli poiché Apple utilizza una crittografia estremamente forte.
Di conseguenza, se si ha effettuato il jailbreak del proprio iPhone e si è visto quel “strumento di recupero dati” in Cydia, si sappia che è falso. I file cancellati non possono essere recuperati e qualsiasi strumento o servizio che offre il recupero dati iPhone è una truffa (qui stiamo parlando solo di file cancellati; esistono servizi legittimi che possono estrarre il contenuto di un iPhone, compresi tutti i dati dell’utente tranne i file cancellati).
Gli smartphone e i tablet Apple non hanno mai utilizzato schede SD, quindi non c’è possibilità di estrarre una scheda e leggerne il contenuto.
Tuttavia, iOS ha una funzionalità meravigliosa e davvero comoda chiamata “backup di iCloud”. Grazie a questa funzionalità, il proprio smartphone può eseguire automaticamente il backup di tutto il suo contenuto (compresi le app e tutti i loro dati, le schermate, le immagini, la musica e i video) nel cloud ogni giorno, ogni volta che si carica l’iPhone a casa. (Ok, un modo tecnicamente corretto di dirlo sarebbe “ogni giorno una volta che l’iPhone è collegato a un caricatore, bloccato ed è all’interno di una rete Wi-Fi conosciuta”. In altre parole, ogni giorno si carica a casa.) Il cloud conserva tre copie di backup degli ultimi file archiviati nel proprio iPhone, quindi si ha del tempo per cambiare idea, ripristinare il telefono e ripristinarlo dall’ultimo backup. Una volta fatto ciò, tutti i file che si avevano nell’iPhone verranno ripristinati automaticamente dal backup.
Esistono strumenti sul mercato che possono scaricare tali backup sul proprio computer (ad esempio Elcomsoft Phone Breaker); tuttavia, questi sono principalmente utilizzati dalla polizia e, come tali, hanno un prezzo corrispondente. Quindi, la soluzione migliore è salvare tutto dal proprio iPhone al proprio computer con iTunes (si può persino fare un backup completo offline, giusto per sicurezza), ripristinare il dispositivo e recuperare da iCloud. Basta solo fare attenzione a non “caricare l’iPhone in uno stato bloccato all’interno di una rete Wi-Fi conosciuta”, altrimenti potrebbe produrre un nuovo backup di iCloud, sovrascrivendo la vecchia copia.
Recupero dati BlackBerry: Un mito
Gli smartphone BlackBerry sono stati progettati con un unico obiettivo: essere sicuri. I BlackBerry utilizzano la crittografia del disco completo fin dall’inizio. In generale, i BlackBerry non possono essere jailbreakati. Anche l’estrazione di un’immagine grezza decrittata di un dispositivo BlackBerry non è tecnicamente possibile in questo momento (un chip-off del telefono può leggere i dati dal chip flash, ma tutte le informazioni saranno crittografate in modo sicuro e non possono essere decifrate). Tuttavia, anche se qualcuno riuscisse ad estrarre un’immagine, non sarebbe in grado di decifrarla. Il modello di sicurezza BlackBerry è argomentabilmente ancora più rigoroso di quello di Apple, quindi non c’è possibilità di recuperare file eliminati da uno smartphone BlackBerry (a meno che non fossero conservati su una scheda SD, che è possibile rimuovere e recuperare come al solito).
Recupero dati Android: Stiamo facendo progressi!
Come abbiamo detto, Android è praticamente l’opposto di iOS in molti modi. Prima di tutto, molti dispositivi Android consentono l’uso di schede micro SD come memoria secondaria. È facile configurare il telefono per archiviare foto e video su una scheda SD anziché nella memoria principale. Se hai eliminato un file da una scheda SD, basta estrarre quella scheda, inserirla in un lettore di schede USB collegato al computer e utilizzare RS Photo Recovery per recuperare le foto o RS Partition Recovery per recuperare tutti i tipi di dati da quella scheda di memoria. È così semplice.
Tuttavia, se i file eliminati erano memorizzati nella memoria principale del telefono, il recupero diventa più complicato. Con poche eccezioni, gli smartphone Android non utilizzano la crittografia del disco completo di default (puoi abilitarla nelle impostazioni, ma ad eccezione dei dispositivi Nexus, pochi produttori impostano questa opzione come predefinita).
Di conseguenza, quando elimini un file da uno smartphone Android, il suo contenuto potrebbe rimanere recuperabile, almeno per un po’. Se riesci a creare un’immagine del tuo smartphone Android rapidamente, o hai un dispositivo con accesso root e utilizzi uno strumento di recupero dati per telefoni con accesso root, potresti essere in grado di recuperare i dati… o forse no.
Vediamo cosa succede alle informazioni quando elimini un file da un dispositivo Android.
Tutti gli smartphone e i tablet Android abbastanza recenti rilasciati a partire da Android 2.3 Gingerbread utilizzano la memoria flash eMMC come memoria permanente. A differenza delle normali chip flash, le eMMC sono una combinazione di memoria flash NAND e un controller di archiviazione integrato. Questo controller di archiviazione è responsabile di tutte le operazioni di lettura e scrittura, nonché del mantenimento della chip flash in buone condizioni.
Senza addentrarci troppo nei dettagli tecnici, la memoria flash ha diverse proprietà uniche. Prima di tutto, è possibile scrivere nuovi dati solo in una cella di memoria flash vuota. In altre parole, le celle flash devono essere cancellate prima di poter accettare nuovi dati. In secondo luogo, la memoria flash NAND è molto più lenta nel cancellare le celle rispetto alla scrittura delle informazioni, il che ha portato i produttori di flash a implementare algoritmi intelligenti di raccolta dei rifiuti per cancellare le celle svuotate in background mentre mappano celle già vuote a indirizzi logici che contengono dati eliminati. Infine, le celle flash hanno un numero limitato di scritture che possono sopportare; il compito del controller integrato è di distribuire uniformemente l’usura tra le celle flash (che potrebbe richiedere lo spostamento delle informazioni esistenti da una cella all’altra, cancellando e riutilizzando una cella di memoria che conteneva dati validi).
Tutti questi algoritmi intelligenti rendono il recupero un po’ complicato. Ciò che rende il recupero incerto è il fatto che ogni modulo eMMC ha una capacità di archiviazione fisica maggiore rispetto alla capacità di archiviazione pubblicizzata. In altre parole, ci sono determinate celle all’interno che non hanno indirizzi logici assegnati. Questi blocchi NON sono accessibili a nessun programma o app di recupero dati. NON faranno parte di un’immagine grezza se si esegue il dump o il backup del suo contenuto. Queste aree non saranno visibili nemmeno al momento dell’acquisizione JTAG o chip-off, semplicemente perché le richieste JTAG e chip-off vengono ancora passate attraverso il controller!
Quindi, ancora una volta, cosa succede quando elimini un file? Il sistema operativo apporta una modifica al sistema di file, rilasciando settori che non vengono più utilizzati. Allo stesso tempo, il sistema operativo invierà un comando “trim” al controller eMMC per indicare che determinati blocchi logici non vengono più utilizzati. Il controller eMMC riceve quel comando e assegna a quei blocchi lo stato “non importa”. Fino a questo punto, tutto sembra abbastanza semplice.
La parte interessante avviene dopo. Per garantire che il sistema possa scrivere nuovi dati nel blocco fisico appena rilasciato, il controller eMMC può riassegnare l’indirizzo logico a un blocco fisico diverso (vuoto)! Di conseguenza, se sei il sistema operativo, “vedrai” che i settori che hai appena rilasciato sono improvvisamente vuoti, anche se sai che svuotarli (cancellarli) effettivamente richiede molto tempo.
Quindi, dove vanno i blocchi che contengono dati eliminati? Vengono riassegnati ad altri indirizzi logici o (più probabilmente) spinti fuori dallo spazio indirizzabile nell’area sovrallocata, dove verranno cancellati in background quando il microcontrollore non è occupato a fare altre cose come gestire richieste di lettura e scrittura.
Se tutto questo è stato un po’ troppo tecnico, posso semplicemente dire che in Android (a differenza di Apple iOS) i file eliminati potrebbero essere recuperabili, almeno per un po’. Molti telefoni Android riducono le partizioni durante lo spegnimento, quindi se agisci rapidamente potresti essere in grado di recuperare quel file eliminato dopo tutto.
Cosa serve esattamente per il recupero dati Android? Prima di tutto, avrai bisogno di un dispositivo con accesso root. Senza l’accesso root, uno strumento di recupero dati non sarà in grado di leggere la memoria del telefono a un livello sufficientemente basso per poter recuperare i file. Avrai anche bisogno di uno strumento di recupero dati per dispositivi con accesso root (non posso consigliare uno specifico, ma ne ho visti alcuni su Google Play Store). Infine, dovrai inserire una scheda SD, una chiavetta flash OGS o semplicemente collegare il dispositivo al computer, poiché lo strumento di recupero dati non dovrebbe salvare i file da recuperare nella stessa memoria da cui li sta recuperando (o potrebbe sovrascrivere dati appartenenti ad altri file in attesa di essere recuperati).
Molti clienti ci chiedono se rilasceremo uno strumento di recupero dati per Android. Non abbiamo intenzione di farlo e non abbiamo nulla in programma. Il motivo è semplice: il mercato per questo è estremamente piccolo. Ci sono MOLTO pochi dispositivi Android con accesso root in circolazione. Ottenere l’accesso root nelle ultime versioni di Android è estremamente difficile e raramente possibile. Abituatevi semplicemente a fare regolari backup del vostro dispositivo, attivate il caricamento su cloud per la vostra Camera Roll e non avrete mai bisogno di uno strumento di recupero dati in primo luogo.
Windows Phone 8 e 8.1: Metà e metà
Windows Phone è un sistema operativo per smartphone relativamente nuovo. È un sistema ben equilibrato che ha preso molto sia da Android che da iOS. Ha molte cose in comune con iOS (tra cui lo spazio privato per le applicazioni e l’assenza di residui dopo la disinstallazione di un’app) e offre anche accesso ai file condivisi (ad esempio musica, video o e-book che non è necessario importare in un’app specifica per utilizzarli, ma possono essere utilizzati con qualsiasi app). Windows Phone di solito non consente l’installazione di applicazioni da fonti diverse dallo Store di Windows (a meno che non sia sbloccato dallo sviluppatore).
A differenza degli smartphone iOS, i dispositivi Windows Phone possono essere sbloccati gratuitamente per l’installazione di app non firmate. Tuttavia, a differenza di Android, le app non avranno accesso a livello amministrativo poiché i dispositivi Windows Phone non possono essere rootati o jailbroken.
Di conseguenza, non è possibile avere (o scrivere) un’app per il recupero di file eliminati. Un’app del genere non funzionerebbe a causa di privilegi insufficienti e API mancanti per accedere al disco a un livello sufficientemente basso.
In teoria, un Windows Phone può essere estratto tramite acquisizione JTAG o chip-off. È quindi possibile eseguire uno strumento di recupero dati come RS Partition Recovery sull’immagine estratta. Poiché Windows Phone è un sistema operativo basato su Windows, utilizza NTFS come sistema di file, quindi gli strumenti standard di recupero dati funzionerebbero sulle immagini estratte. Tuttavia, è importante notare che molte delle stesse problematiche specifiche dell’eMMC che abbiamo discusso nelle sezioni su Android si applicano anche ai dispositivi Windows Phone, rendendo il recupero possibile ma non garantito.
È importante notare che molti smartphone Windows Phone (con alcune eccezioni) supportano le schede micro SD. Windows Phone consente non solo di archiviare musica e salvare foto e video su schede SD, ma supporta anche l’installazione di app su schede SD. Di conseguenza, se si utilizza un dispositivo di fascia bassa con una capacità di archiviazione principale limitata, è possibile semplicemente rimuovere la scheda SD, collegarla al computer tramite un lettore di schede e recuperare i file eliminati dalla scheda SD. È possibile utilizzare RS Photo Recovery per recuperare le immagini o RS File Recovery per recuperare tutti i tipi di dati.