Analisis Forensik WhatsApp Artefak pada Platform Android Anggie Khristian1, Yesi Novaria Kunang, S.T., M.Kom2., Siti Sa’uda, M.Kom3 1)
Mahasiswa Teknik Informatika, Universitas Bina Darma 2), 3) Dosen Ilmu Komputer, Universitas Bina Darma Universitas Bina Darma, Jl Jend A.Yani No.12 Plaju, Palembang 30264 Email:
[email protected]),
[email protected]),
[email protected])
Abstrak. WhatsApp merupakan aplikasi chatting antar platform yang biasa digunakan oleh para pengguna smartphone untuk berkirim pesan teks, foto, video, dan audio. Banyak oknum-oknum yang menyalahgunakan WhatsApp untuk melakukan kejahatan digital seperti penipuan, perjudian, pornografi, korupsi, ataupun jaringan narkoba. Jika pada suatu kasus kejahatan yang menjadi barang bukti adalah sebuah smartphone, maka smartphone tersebut nantinya bisa dianalisis dan jika pada smartphone tersebut ter-install aplikasi WhatsApp, maka dapat dilakukan analisis forensik WhatsApp untuk mendapatkan artefak digital yang berupa riwayat percakapan dan nomor kontak, dan lain sebagainya yang berkaitan dengan aplikasi WhatsApp. Kemudian artefak digital tersebut nantinya bisa dijadikan barang bukti yang dapat membantu penegak hukum dalam mengungkap kasus kejahatan dan dapat dipertanggungjawabkan di pengadilan. Kata Kunci: Smartphone, Android, Mobile forensik, WhatsApp, Artefak Digital.
1
Pendahuluan
Saat ini perkembangan dunia teknologi sudah semakin canggih, dan salah satunya yaitu perkembangan teknologi smartphone bersistem operasi Android. Android merupakan sistem operasi berbasis Linux yang bersifat terbuka (open source) dan dirancang untuk perangkat seluler layar sentuh seperti smartphone dan komputer tablet [2]. Banyak oknum-oknum yang menyalahgunakan dari kecanggihan smartphone Android tersebut untuk melakukan kejahatan digital seperti penipuan, perjudian, pornografi, korupsi, ataupun jaringan narkoba. Para pelaku kejahatan biasanya memanfaatkan aplikasi chatting sebagai sarana untuk berinteraksi dengan sesama rekan penjahat maupun korban. Banyak aplikasi chatting yang kaya fitur yang bisa di-install di platform Android, salah satunya adalah aplikasi WhatsApp. WhatsApp adalah aplikasi pesan seluler lintas platform yang memungkinkan Anda untuk bertukar pesan tanpa harus membayar SMS [4]. Aplikasi WhatsApp menggunakan nomor ponsel sebagai identitas, sehingga pengguna lain yang tidak
terdaftar sebagai teman pun bisa mengirim pesan ke kita dan hal inilah yang dimanfaatkan oleh pelaku kejahatan untuk melancarkan aksinya. Jika pada suatu kasus kejahatan yang menjadi barang bukti adalah sebuah smartphone dan ter-install aplikasi WhatsApp, maka smartphone tersebut nantinya bisa dianalisis untuk mendapatkan artefak digital yang berkaitan dengan aplikasi WhatsApp. Hal tersebut bisa dilakukan dengan menerapkan ilmu digital forensik, dimana ilmu tersebut bisa digunakan dalam mengungkap kasus kriminal dan sebagainya pada perangkat digital [3]. Metode yang bisa digunakan yaitu metode mobile forensik yang merupakan cabang ilmu digital forensik yang berfokus pada perangkat mobile. Dengan melakukan kerangka kerja mobile forensik, maka data-data yang berkaitan dengan aplikasi WhatsApp bisa dipulihkan kembali, kemudian dibuat laporan kejadian yang nantinya bisa dijadikan sebagai barang bukti kejahatan digital. Pada penelitian ini peneliti akan mengskenariokan kasus kejahatan dengan aplikasi WhatsApp pada dua buah smartphone Android, yang kemudian akan dilakukan analisis mobile forensik. Selain itu, penelitian ini merupakan kelanjutan dari penelitian yang sebelumnya telah dilakukan oleh Ilman Zuhri Yadi dan Yesi Novaria Kunang [5] pada tahun 2014 yang berjudul “Analisis Forensik pada Platform Android”, dimana pada penelitian tersebut peneliti mengevaluasi tools dalam ekstraksi bukti forensik pada smartphone Android. Akan tetapi peneliti tersebut menganalisis smartphone Android yang keamanan layarnya sedang tidak aktif atau tidak terkunci.
2
Metode Analisis
Metode yang digunakan dalam penelitian ini berpedoman pada metode mobile forensik yang dibuat oleh National Institute of Standard and Technology (NIST) [1] yang mempunyai beberapa tahap yaitu: 1. Preservation Tahap ini melibatkan proses pengumpulan, pencarian, dan pendokumentasian barang bukti. Pada proses ini, barang bukti dijaga agar tidak terjadi perubahan data. 2. Acquisition Pada tahapan acquisition yaitu melakukan proses imaging atau pengkloningan perangkat mobile. 3. Examination and Analysis Proses mengungkap bukti digital. Hasil imaging yang telah dilakukan sebelumnya akan dianalisia untuk memperoleh data yang diinginkan. 4. Reporting Merupakan proses mempersiapkan ringkasan secara rinci dan menyimpulkan hasil penyelidikan. 2.1
Preservation
Preservation merupakan tahap paling awal dalam metode mobile forensik, dan hal yang pertama yang dilakukan adalah melakukan pencarian, pengumpulan dan
pendokumentasian barang bukti. Pada penelitian ini yang menjadi barang bukti yaitu berupa dua buah smartphone yang diskenariokan sebagai barang bukti dalam kasus kejahatan. Setelah barang bukti dikumpulkan, kemudian dilakukan pendokumentasian dengan mencatat merek, model, serta hal lain yang berkaitan dengan smartphone tersebut. Tabel 1. Tabel Spesifikasi Barang Bukti (Evidence) Spesifikasi Merek Seri Model Imei Versi OS
Evidence 1 Samsung Galaxy Ace 3 361551063411xxx 4.2.2 (Jelly Bean)
Evidence 2 Smartfren Andromax AD683G 868522011164xxx 4.0 (Ice Cream Sandwich)
Berikut merupakan flowchart kerangka kerja bagaimana cara menganalisis smartphone untuk mendapatkan artefak digital yang berkaitan dengan aplikasi WhatsApp:
Gambar 1. Flowchart analisis aplikasi WhatsApp
3
Hasil
3.1 Acquisition Tahap acquisition, yaitu mengakuisisi barang bukti. Smartphone yang menjadi barang bukti dalam skenario kasus kejahatan, disk-nya akan dikloning atau dilakukan imaging, dimana hasil image tersebut nantinya akan dianalisis. Dalam melakukan proses pengambilan data-datanya, setiap perangkat Android bisa berbeda-beda caranya, dipengaruhi oleh jenis vendor dan hal yang lainnya seperti jenis protokol transfer, kondisi keamanan layar smartphone sedang aktif atau tidak, dan versi Android. Tools yang digunakan dalam melakukan akuisisi yaitu AccessData FTK Imager Lite, dan ClockWorkMod (CWM). 3.1.1 Percobaan Imaging pada Evidence 1 dan 2 Evidence 1 dan 2 dalam kondisi keamanan layarnya sedang aktif, maka saat disambungkan ke komputer, smartphone tersebut tidak terdeteksi pada aplikasi FTK Imager, sehingga dilakukan imaging terhadap SD Card-nya terlebih dahulu. Untuk melakukan imaging pada SD Card, maka dibutuhkan sebuah Card Reader sebagai media untuk mengkoneksikan ke komputer. Selanjutnya adalah mengambil data pada partisi sistem Android melalui CWM. Sebelumnya Slave SD Card sudah dipasang untuk menampung hasil backup, hal ini berfungsi untuk meminimalisir resiko terjadinya perubahan atau kehilangan data pada barang bukti. Kemudian Slave SD Card tersebut dilakukan imaging lagi menggunakan aplikasi FTK Imager. 3.2 Examination and Analysis Setelah tahapan acquisition telah dilakukan, maka selanjutnya adalah melakukan tahap examination and analysis, yaitu mengungkap dan melakukan analisis terhadap hasil dari tahap acquisition untuk memperoleh data yang berkaitan dengan aplikasi WhatsApp. Ada beberapa tools yang digunakan dalam menganalisis hasil imaging yang telah dilakukan sebelumnya yaitu: ProDiscover Basic, AccessData FTK Imager, WhatsApp Viewer,dan DB Browser for SQLite. 3.2.1 Pencarian Data WhatsApp Pada Evidence 1 dan 2 Pada file image SD Card evidence 1 tidak ditemukan data-data yang berkaitan dengan aplikasi WhatsApp, maka selanjutnya adalah melakukan pencarian pada file image yang lain. Setelah dilakukan pencarian pada file image Slave SD Card, didapatkan data-data aplikasi WhatsApp yaitu folder com.whatsapp dan WhatsApp. Pada file image SD Card Evidence 2 ditemukan folder WhatsApp dan juga folder com.whatsapp pada file image Slave SD Card.
3.2.2 Decrypt Database WhatsApp Pada Evidence 1 dan 2 Selanjutnya adalah mendekripsi database aplikasi WhatsApp yang terenkripsi crypt8. File database tersebut didekripsi satu persatu menggunakan tool WhatsApp Viewer yang disertai file key. 3.3 Reporting Tahap terakhir pada metode mobile forensik melakukan reporting atau pelaporan. Pada tahapan ini akan membahas dan menyajikan secara detil semua artefak yang berkaitan dengan aplikasi WhatsApp yang telah didapatkan sebelumnya untuk mengungkap sebuah kasus kejahatan yang telah diskenariokan oleh peneliti. 3.3.1 Hasil Analisa Pada Evidence 1 dan 2 Ada beberapa artefak digital yang berhubungan dengan aplikasi WhatsApp yang telah didapatkan pada evidence 1 yaitu 8 buah file database percakapan, file voice note, dan file profile pictures. Sedangkan pada evidence 2 didapatkan dua buah file percakapan dan file profile pictures. File Voice Note Evidence 1
Profile Pictures evidence 1
Profile Pictures evidence 2
Gambar 2. File voice note dan profile pictures
Percakapan evidence 1
Percakapan evidence 2
Gambar 3. Bukti percakapan pada evidence 1 dan 2 Selain itu juga di dalam beberapa file berekstensi xml terdapat informasi mengenai identitas pengguna aplikasi WhatsApp, dimana file tersebut berada pada direktori com.whatsapp/shared_prefs. Setelah melakukan analisa pada evidence 1 dan 2, dapat disimpulkan bahwa dengan menerapkan proses mobile forensik pada platform Android, artefak digital yang berkaitan dengan aplikasi WhatsApp bisa didapatkan. Selain percakapan dan foto profile, file media yang telah dikirim atau diterima bisa didapatkan seperti file audio, video, voice note, images, dan call history juga bisa didapatkan, tetapi disini peneliti hanya membuat percakapan dan voice note saja.
4
Simpulan
Berdasarkan tahapan-tahapan yang telah dibahas mengenai analisis forensik WhatsApp artefak pada platform Android, dimana dalam mengungkap kasus kejahatan yang telah diskenariokan sebelumnya, maka dapat disimpulkan sebagai berikut: 1. Untuk mendapatkan data-data pada smartphone Android bisa berbeda-beda caranya dan banyak hal yang mempengaruhi seperti jenis vendor, keamanan layar smartphone, protokol transfer yang digunakan, dan versi Android.
2.
3.
CWM (ClockWorkMod) merupakan mode recovery yang sangat membantu dalam pengambilan data pada partisi sistem Android tanpa melakukan rooting pada smartphone. Ada kendala yang membuat proses mobile forensik semakin sulit yaitu memori internal atau eksternal telah di-format berulang-ulang kali, SD Card yang dienkripsi, dan melakukan dekripsi tanpa adanya file key.
Referensi 1. Ayers, R., Brothers, S., Jansen, W.: Guidelines on Mobile Device Forensics. NIST Special Publication 800-101 Revision 1, (2014). 2. Salbino, S.: Buku Pintar Gadget Android untuk Pemula. Kunci Komunikasi, Jakarta (2014) 7-8. 3. Watson, D. & Jones, A.: Digital Forensics Processing And Procedures. Elsevier, Inc, USA (2013) 1-3. 4. WhatsApp. Diambil 19 Oktober 2015, dari http://www.whatsapp.com/ 5. Yadi, I. Z. & Kunang, Y. N.: Analisis Forensik pada Platform Android, di Konferensi Nasional Ilmu Komputer (KONIK2014). Makassar (2014).