In veste di consulente informatico forense, spesso mi confronto con i colleghi su come affrontare inconvenienti tecnici nelle attività lavorative.
Questo articolo è il risultato di uno di questi scambi. Un amico mi ha contattato perché, in un’indagine, si trovava a dover acquisire uno smartphone Android che risultava bloccato dalla funzione antifurto di ESET Mobile Security.
Questo tipo di blocco si presenta nonostante si sia in possesso del PIN per l’accesso alla schermata di blocco standard di Android. È un blocco aggiuntivo attivato automaticamente in determinate condizioni, come la rimozione della SIM card o l’inserimento di più codici PIN errati.
Il collega che mi ha contattato mi ha riferito di essere riuscito a collegare il telefono al computer con un cavo USB e di aver autorizzato (con fatica) l’uso del protocollo ADB. Tuttavia non riusciva a fare nulla, per via della modalità antifurto attiva.
Questa specifica circostanza ha permesso di arrivare a una soluzione: il fatto che l’utente del telefono avesse lasciato il debug USB acceso si è rivelato fondamentale. La procedura che indicherò di seguito quindi non è sempre applicabile, ma è utile conoscerla e utilizzarla quando possibile.
Prima di tutto, ho suggerito di identificare il codice del pacchetto dell’antivirus con il seguente comando:
adb shell pm list packages | grep -i eset
Tra le righe risultanti, è possibile identificare subito il nome corretto del pacchetto, vale a dire com.eset.ems2.gp.
Giunti a questo punto, abbiamo tentato di interrompere l’applicazione (la cosiddetta operazione di force stop) tramite il comando:
adb shell am force-stop com.eset.ems2.gp
Purtroppo, l’apparente esito positivo è durato ben poco. Nel giro di qualche istante la modalità antifurto è ripartita. Il secondo tentativo invece è consistito nella disattivazione del pacchetto:
adb shell am disable-user com.eset.ems2.gp
L’applicazione è stata immediatamente inibita e il telefono ha ripreso a mostrare la normale interfaccia grafica, diventando pienamente utilizzabile.
Lo smartphone è stato sottoposto ad acquisizione forense seguendo le consuete procedure del caso.
Questa esperienza dimostra che un telefono può presentare ostacoli tecnici anche se il proprietario ha fornito il codice di sblocco di Android.
Infatti le applicazioni antifurto sono concepite per attivarsi in modo automatico e potrebbero ostacolare le attività tecniche sul dispositivo. In questi casi è fondamentale conoscere il funzionamento del sistema operativo e sapere come intervenire manualmente.
La procedura suggerita si può applicare se il dispositivo ha il debug USB attivo, ma non è limitata esclusivamente a ESET Mobile Security. Essa può essere usata anche per altri tipi di soluzioni di sicurezza.
Se vi serve una consulenza tecnica forense riguardante i dati presenti in uno smartphone, potete richiedere questo tipo di servizio tramite la pagina dedicata.
