Onderzoekers van de University of Glasgow hebben onderzocht hoe cloudgegevens zijn terug te halen uit apps van de diensten Dropbox, Box en SugarSync bij smartphones. Ze concluderen dat documenten die uit de apps worden verwijderd in sommige gevallen alsnog uit de caches van toestellen te halen zijn.

Recovery ondanks geleegde cache

Een HTC Desire met Android 2.1 werd met een forensische tool onderzocht en ook een iPhone 3G met iOS 3 is bekeken. Bij de laatste smartphone hadden de onderzoekers te maken met een extra struikelblok, want via de SD-kaart bleken nog meer gegevens te achterhalen te zijn en de iPhone heeft geen SD-kaart.

In het geval van het Android-toestel, waren bestanden nog terug te vinden, ook als de cache van de app geleegd was. In de meeste gevallen zijn bestanden verdwenen na het legen van de cache, maar op de SD-kaart waren (delen van) documenten nog terug te halen. Bij zowel de Desire als de iPhone 3G waren metadata terug te vinden met transactielogs en gebruikte clouddatabases.

Bestanden opnieuw te downloaden

Bij de test werden onder meer een docx-document en pdf-bestand die waren gewist op de HTC Desire én waarvan de app-cache was geleegd alsnog teruggehaald. Bij de iPhone waren enkel bestanden terug te halen die op het toestel waren gewist als de cache van de app níet was geleegd. Via gecachete data van de Box-app konden de onderzoekers downloadlocaties met de juiste tokens reconstrueren en op die manier clouddata die ooit is ingezien door de gebruiker opnieuw downloaden.

De onderzoekers wijzen erop dat clouddata inderdaad via (ooit) gekoppelde apparaten is terug te halen en in sommige gevallen zelfs aanvullende gegevens uit de clouddienst zijn te benaderen. De noodzaak voor bedrijven om een BYOD-beleid te ontwikkelen waarbij het apparaat (gedeeltelijk) onder beheer komt van de organisatie wordt daarmee ook onderstreept.

Meer onderzoek nodig

Er is volgens de auteurs van het onderzoeksrapport meer onderzoek nodig naar verschillende besturingssystemen, apparaten en clouddiensten om een idee te krijgen van waar en hoe cloudgegevens met forensische methodes zijn terug te halen. Daarbij zijn inmiddels sterk verouderde versies van de twee besturingssystemen gebruikt en apps waarvan al lange tijd updates bestaan die de forensische methodes mogelijk allang blokkeren.

Momenteel wordt er onderzoek gedaan naar de recovery van data via Gmail, Mozy, Ubuntu One en Evernote. Ook wordt er onderzoek gedaan naar wat nu precies de gevolgen zijn van het bestaan van deze recovery-methodes voor bedrijfsomgevingen. En hoe de eventuele schadelijke gevolgen van dergelijk dataverlies kan worden beperkt. Daar moet uiteindelijk advies uitrollen hoe cloudproviders en smartphonegebruikers deze risico's kunnen beperken.