Bugünkü yazımda, yakın zamanda Turkcell tarafından duyurulan Yaani Mail isimli mail uygulamasının Adli Bilişim açısından incelenmesinden bahsediyor olacağım.
Yaani Mail 24/12/2019 tarihinde Turkcell tarafından kurulmuştur. Yaani Mail e-posta okumak veya cevaplamak, internet olmadan da önceden gelmiş olan maillerin görüntülenebildiği ve cevaplanabildiği, daha sonrasında internet bağlantısının kurulması ile tüm işlemlerin otomatik olarak gerçekleştirildiği bir mail hizmetidir. Yaani Mail uygulama marketlerden indirilebilmektedir. Ayrıca; Android 5.0 ve üzeri ya da IOS 11 ve üzeri işletim sistemine sahip cihazlar üzerinden veya Chrome, Safari ve Firefox gibi internet tarayıcıları ile Yaani Maile erişim mümkündür.
Yaani Mail servisine Ad-Soyad, kulllanıcı adı, parola ve güvenlik sorusu belirleme, cep telefonu tanımlaması yapılarak kayıt olunmaktadır. Ayrıca hızlı giriş seçeneği de bulunmaktadır. Hızlı giriş, kullanıcılarının kişisel bilgilerini paylaşmadan, yalnızca cep telefon numarası aracılığıyla sağlanabilen müşteri doğrulama servisidir.
Günümüzde e-posta hizmetleri oldukça yaygın olarak kullanılmaktadır. Bu durum e-posta hesapları ile işlenen suçların veya kişinin e-posta aktivitelerinin incelenmesinin önemini arttırmaktadır. Bu bölümde, henüz hiçbir lisanslı adli bilişim yazılımına eklenmemiş olan Yaani Mail’in bir cep telefonu içerisinde hangi kalıntıları bıraktığını inceleyeceğiz.
İncelerken kullanmış olduğum araçlar ve yazılımlar aşağıda yer alan tabloda sunulmuştur:
Adı
|
Açıklama
|
Geny
Motion (3.0.3)
|
Sanal Android Platformu
|
Samsung
Galaxy S8 (8.0)
|
Sanal Android Cihaz
|
ADB Tool
|
Cep telefonu ile bilgisayar arasındaki bağlantıyı
sağlayan araç.
|
SQLite DB
Browser
|
SQLite formatındaki veritabanı dosyalarını görütüleyen
araç.
|
SublimeText
| Metin Editörü |
CEP TELEFONU İÇERİSİNDE YER ALAN YAANİ MAİL VERİLERİNİ ELDE ETME
Uygulama kurulduktan sonra verileri kök dizin yer alan com.turkcell.yaaniemail isimli klasör içerisinde depolanmaktadır. Klasör içerisinde kullanıcı bilgilerinin tutulduğu önbellek, veritabanı, uygulama üzerinden paylaşılan dosyalar, uygulama logları, uygulamaya ait ayarların ve verilerin yer aldığı xml dosyaları olduğu görülmüştür.
Adli inceleme açısından kullanıcının aktivitelerine erişebilmek için bu bilgilerin analiz edilmesi oldukça önemlidir.
Cep telefonu içerisindeki uygulama verilerini almak için sırasıyla aşağıdaki adımlar uygulanmıştır:
- Cep telefonunun bilgisayara bağlanması,
- Bağlantı sonrası ADB aracı kullanılarak adb shell komutu ile cep telefonuna bağlanılması,
- Bağlantı sonrası dizinindeki uygulama verilerinin bulunduğu data/data/ dizinine gidilmesi ve uygulama verilerinin var olup olmadığının kontrol edilmesi,
- adb pull com.turkcell.yaaniemail HedefAdresYolu yazılarak uygulama verilerinin cep telefonu içerisinden bilgisayara kopyalanması.
data/data dizininde yer alan com.turkcell.yaaniemail isimli klasör içerisinde yer alan dosyalar aşağıdaki şekilde sunulmuştur.YAANİ MAİL VERİTABANI BİLGİLERİ VE ANALİZİ
Yaani Mail gönderilen ve alınan mailleri kullanılan telefon üzerinde ve kendi sunucusu üzerinde depolamaktadır. Veritabanı bilgilerine ancak telefon üzerinden ulaşmamız mümkündür, veritabanı dosyalarına ulaşabilmek için Android telefonlarda ROOT, işlemi yapılmalıdır.
Yaani Mail uygulamasının veri tabanı dosyaları /data/data/com.turkcell.yaaniemail/databases dizini içerisinde yer almaktadır. Bu dizin altındaki veriler kullanılarak kullanıcı aktivitelerine ulaşılabilmektedir. /data/data/com.turkcell.yaaniemail/databases dizini altındaki veritabanı dosyalarının analizi için aşağıdaki adımlar izlenir:
- Dışarıya aktırmış olduğumuz com.turkcell.yaaniemail verileri içerisinde yer alan databases klasörü içerisine girilir.
- Databases klasörü içerisinde yer alan veri tabanı dosyaları SQLite DB Browser ile görüntülenir.
data/data/com.turkcell.yaaniemail/databases dizini içerisinde yer alan dosyaları aşağıdaki şekilde sunulmuştur.
Android cihazlarda, Yaani Mail uygulaması içerisinde adli veri niteliği taşıyan iki veritabanı mevcuttur. Bunlar yaanimail.db ve yaanimail.db-wal veritabanlarıdır. yaanimail.db bir kullanıcı ve kişiler arasındaki mail görüşmeleri hakkında ayrıntılı bilgi içerir. yaanimail.db-wal dosyası geçici verilerin tutulmuş olduğu bir veritabanı dosyasıdır ve uygulama içerisinde silinen maillere ait kalıntılar yer almaktadır. yaanimail.db isimli veritabanı içerisinde yer alan tablolara ilişkin bilgiler aşağıda yer alan tabloda sunulmuştur:
Adı
|
Açıklama
|
android_metadata
|
Android bilgisi yer almaktadır.
|
folderSyncOptions
|
Dosya idlerini ve dosyaların son güncellenme tarihleri yer
almaktadır.
|
folders
|
Gelen, giden, taslak, junk, taslak ve kullanıcı
tarafından oluşturulan dosyaların isimlerini ve içerisinde barındırıkları
mail sayıları yer almaktadır.
|
listItems
|
Kullanıcı aktivitelerinin detaylı bilgileri yer almaktadır.
|
messageDetails
|
Kullanıcı aktivitelerinin detaylı bilgileri yer
almaktadır.
|
pendingComposeActions
|
İçerik kaydına rastlanmadı.
|
room_master_table
|
İçerik kaydına rastlanmadı.
|
yaanimail.db veritabanı içerisinde yer alan messageDetails ve listItems tabloları bir kullanıcının gönderdiği veya aldığı tüm iletilerin detaylı bilgilerini içerir. Bu bilgilere ek olarak:
- Gönderilen, cc, bcc ye eklenen e-Posta adresleri,
- Mail içeriği,
- Mailin api servisi üzerindeki url adresi,
- Mailin bağlı olduğu dosya ID numarası,
- Mailin oluşturulma ve güncellenme tarihi,
- Mailin okunup okunmadığı bilgisi,
- Taslak mail olup olamadığı bilgisi,
- Maile herhangi bayrak bilgisinin eklenip eklenmediği bilgisi,
- Mailin kaplamış olduğu toplam büyüklüğün bilgisi,
- Mail eklerinin olup olmadığı varsa mail ekinin tipi ve ismi gibi temel bilgilere ulaşılabilmektedir.
yaanimail.db isimli veritabanı içerisinde yer alan messageDetails ve listItems tablolarına ilişkin detaylar aşağıda yer alan şekillerde sunulmuştur. (Not: Şekiller içerisindeki detayları daha yakından görebilmek için üzerine tıklayabilirsiniz.)
YAANİ MAİL LOG DOSYASI VE ANALİZİ
Log dosyaları com.turkcell.yaaniemail\files\applogs klasörü altında yer alan logcat.txt.0 isimli dosya içerisinde tutulmaktadır. Uygulama kullanıcı ve uygulama hareketleri ile ilgili yapılan işlemleri log dosyalarında saklamaktadır. Log dosyaları incelenerek adli bilişim açısından çeşitli veriler elde edilebilmektedir.
logcat.txt.0 isimli log dosyasının içeriği Sublime Tex metin editörü ile incelendiğinde;
- Maile servisine yapılan giriş tipi (hızlı giriş veya kullanıcıAdı/parola)
- Giriş yapılan telefon numarası bilgisi,
- Telefon numarasının bağlı olduğu yaani mail adreslerinin tümüne ait bilgiler (bu husus kişinin diğer yaani mail adreslerinin de öğrenilmesinde fayda sağlamaktadır.)
- Telefon numarasına bağlı olunan e-posta adreslerinden hangisi ile ne zaman giriş yaptığı gibi bilgiler elde edilebilmektedir.
Mail servisinin kullanmış olduğu api servislerine ait url adresleri olduğu görülmüştür. logcat.txt.0 isimli log dosyasının içeriğine ilişkin ekran görüntüsü aşağıda yer alan şekilde sunulmuştur.
Umarım sizler için faydalı bir anlatım olmuştur. Bir sonraki yazımda tekrar görüşmek üzere... Esenle kalın...