NFI helpt rechercheurs internationaal met het vinden van interessante forensische sporen uit apps

Whatsapp, stappenteller of Snapchat: apps op een smartphone bevatten informatie die waardevol kan zijn voor de opsporing. Weten wáár in die apps de relevante informatie zit, is erg belangrijk maar ook uitdagend. “Zodra we weten waar en wat voor sporen apps achterlaten, heeft de app alweer een update gehad en kunnen we opnieuw beginnen”, vertelt Abdul Boztas, forensisch wetenschapper bij het Nederlands Forensisch Instituut (NFI). Daarom ontwikkelt het NFI samen met Europese partners een internationaal forensisch kennisplatform waarop te vinden is waar rechercheurs relevante sporen kunnen vinden, hoe ze zijn ontstaan én wat ze betekenen. Dit helpt bij het oplossen van misdrijven.

Smartphones zijn een forensische goudmijn. Bijna ieder mens heeft dagelijks een mobiele telefoon op zak. Die bevatten ontzettend veel interessante gegevens voor de bewijsvoering in zaken. “In het leeuwendeel van mijn zaken, zo’n 90%, spelen mobiele telefoons een sleutelrol. ‘Wat heeft een gebruiker gedaan?’ ‘Waar was een gebruiker?’ ‘Met wie heeft een gebruiker gecommuniceerd?’ ‘Wat is de herkomst van een foto’? ‘Heeft iemand op een trap gelopen?’ Dat soort vragen krijgen wij regelmatig van de politie,” Illustreert Boztas. Als de politie bij misdrijven een verdachte op het oog heeft, kan zijn/haar in beslag genomen telefoon helpen om te reconstrueren wat er gebeurd is in een bepaalde periode. Zo helpen apps op smartphones die sporen achterlaten bijvoorbeeld om scenario’s van het Openbaar Ministerie (OM) en verklaringen van verdachten te toetsen.

Handen ineen slaan

Zonder dat de gebruiker dat ziet, bevatten apps dus zeeën aan data. “Maar, de realiteit is dat apps vaak al snel met nieuwe versies komen. En de wildgroei aan nieuwe apps op de markt is niet te overzien”, zegt Boztas. Het NFI kan dat niet allemaal zelf onderzoeken en bijhouden en is ook niet het enige forensische lab dat tegen dit probleem aanloopt. Om daar weerstand tegen te bieden, schreef projectleider Boztas samen met NFI-collega’s en deskundigen uit Griekenland, Finland, Noorwegen en Japan een onderzoeksvoorstel. The European Network of Forensic Science Institutes (ENFSI) selecteerde dat voorstel uit vele andere inzendingen. Het project, met de naam ‘App Analyses and Reference Database Solution’, krijgt subsidie uit de Europese Unie.   

Het project bestaat uit twee componenten. Allereerst ontwikkelen de landen een unieke softwaretool die kan bepalen welke sporen een app op een mobiele telefoon achterlaat. “De software detecteert welke bestanden worden gewijzigd op de mobiele telefoon na een activiteit met een app”, legt Jeroen de Jong uit, die samen met zijn team namens het NFI de software bouwt. “De resultaten daarvan willen we vervolgens uploaden in een referentiedatabase die bereikbaar is via een beveiligde website. Het doel daarvan is dat onderzoekers uit de deelnemende landen vanuit hun werkplek toegang krijgen tot de database en zo informatie over specifieke apps kunnen opvragen.”

Internationaal kennis delen

De kracht van dit project is de internationale samenwerking waarbij alle landen hun kennis delen. “We willen zoveel mogelijk instituten betrekken om de database te vullen en te updaten. Die kennis maken we direct toegankelijk voor alle partners. Wat wij ontdekken en onderzoeken, voegen we toe en andere landen doen dat ook”, aldus De Jong. De digitale onderzoekers stellen dat dit online kennisplatform een voorwaarde is om criminaliteit efficiënt (internationaal) te kunnen blijven bestrijden.

De referentiedatabase zal naast gegevens van apps voor Android en Apple, ook informatie bevatten van de unieke experimenten en onderzoeken die het NFI deed aan smart apparaten zoals Smartwatch, Smart TV’s en de Stappenteller van iPhone.

Hoe is een spoor ergens terechtgekomen?

Het ultieme doel is een database te bouwen met miljoenen digitale sporen. Op de informatie in die database willen de deskundigen vervolgens AI (artificial intelligence) modellen toepassen om de data uit de bewijsbestanden te kunnen interpreteren. “Stel, in een bewijsbestand is een spoor gevonden, dan kan de referentiedatabase aangeven van welke app en welke appactiviteit dat spoor afkomstig is. De database kan aangeven of het spoor bijvoorbeeld uit een e-mail komt of dat het is gedownload. Het voegt dus een laag extra informatie toe aan ruwe zaaksdata”, legt De Jong uit.

De referentiedatabase maakt het in de nabije toekomst dus mogelijk om beter een uitspraak te kunnen doen over hoe een bepaald spoor is ontstaan en welke gebruikershandeling hier waarschijnlijk aan ten grondslag ligt.

Samenwerken met studenten

Voor dit project is ook samenwerking gezocht met hogescholen en universiteiten. Studenten gaan het onderzoeksproject ondersteunen door de software verder te ontwikkelen en door bestaande én nieuwe apps te analyseren en de database zo uit te breiden.

Naar verwachting is een eerste versie eind dit jaar beschikbaar.