Google, hizmetlerini kullanan herkes hakkında büyük miktarda veri toplamakta ve saklamaktadır. Kolluk birimleri tarafından yürütülen birçok soruşturmanın çözümünde bu verilere ulaşmaya ihtiyaç duyulmaktadır. Google'ın şüpheli hakkında bildiklerini öğrenmek adli bilişim uzmanları ve adli makamlar açısından son derece önemli bir konudur.

Android mobil cihaz kullanan hemen hemen herkesin bir Gmail hesabı bulunmaktadır. Google Chrome'un kullanımı ise % 50'yi aşmaktadır. Chrome'da senkronizasyon özelliklerini kullananlar, yer işaretlerini, arama ve gezinme geçmişlerini, depolanmış Web formları ve şifreleri ile birlikte Google'a göndermektedirler. Google Drive, fotoğraflar ve videolardan dokümanlara, e-postalara ve Android yedeklemelerine kadar neredeyse her şey için bulut depolama seçenekleri sunmaktadır.

Android mobil cihaz işletim sistemi konuşan dünyanın en popüler mobil platformudur. Yapılan araştırmalara göre mobil cihazların yaklaşık% 82'si android işletim sistemini kullanmaktadır. Aktif Android cihazlarının toplam sayısı yaklaşık 1,4 milyardır. Android 5.0 Lollipop'tan itibaren Google, uygulama verilerini Android cihazlardan bulut servislerine yedekleme seçeneği sunmaktadır. Google'ın kullanıclar hakkında neler bildiğini ve bulutta ne tür kişisel bilgilerin bulunduğunu öğrenmek yapılacak adli incelemerde çok önemli bir yer tutmaktadır.

Adli bilişim uzamanları yapacakları incelemelerde Google'ın verilerini dışa aktarmak için Google Takeout'u ve Google Paket Servisi'ni kullanarak, Google bulutunda saklanan her şeyi dışa aktarılabilmeketdir.

Google Takeout, çok fazla veriyi dışa aktarmış gibi görünse de bazı önemli verilerin olmadığı görülmüştür. Kolluk çalışanlarının ve adli bilişim uzmanlarının, Google Paket Servisi kullanıcısının hesabında iz bırakması nedeniyle dikkatli bir şekilde kullanmaları gerekmektedir. İncelemeciye adli makamlarca bu yetkinin verilmiş olması ve verilerin Google Paket Servisi ile elde edinildiğinden haberdar edilmesi gerekmektedir. Google Paket Servisi tarafından üretilen sonuç dosyası, analiz için hemen hazır değildir. Çünkü veriler bir çok farklı biçimde saklanır ve bilgiler hızlı arama yapmak veya çapraz kontrol yapmak için kullanılamaz. Bu verilerin adli bilişim yazılımları ile incelenmesi gerekmektedir.

Google Paket Servisi ile incelendikten sonra Android cihazların Google Chrome ve diğer uygulamalardan kaynaklanan HTTPS isteklerini ve yanıtlarını araştırılması sonucunda Google'ın genellikle aşağıdaki bilgilerin tümünü saklamış olduğu görülmüştür.

• Kullanıcı profili
• Bağlanan tüm cihazlar
• Erişim talep eden cihazlar, tarayıcılar ve uygulamalar
• Google Reklamcılık ayarları (yaş, ilgi alanları vb.)
• İletişim
• Takvimler
• Notlar (Google Keep)
• E-posta mesajları (Gmail)
• Albümler (fotoğraflar, resimler, videolar)
• Hangouts görüşmeleri
• Kapsamlı yer geçmişi
• Google Fit verileri (spor etkinliği izleme)

Buna ek olarak, Google Chrome aşağıdaki verileri depolamaktadır.

• Arama geçmişi
• Yer imleri
• Senkronize edilen şifreler
• Otomatik doldurma verileri form
• Yer imleri
• Google ve YouTube'daki arama geçmişi

Arama ve tarama geçmişinin kendisi bol miktarda önemli bilgi içermektedir. Her kaydın özellikleri aşağıdaki gibidir:

• Tarayıcı veya mobil uygulama
• Arama sonuçlarının eylemleri (açıldı ya da açılmadı)
• Reklamlardaki İşlemler (tıklamalar ve satın alımlar)
• IP adresi
• Tarayıcı bilgisi

Arama ve tarama geçmişi, Google Paket Servisi tarafından dışa aktarılamaz.

Android yedeklemeleri söz konusu olduğunda, Google aşağıdaki verileri yedekler.

• Google Takvim ayarları
• Wi-Fi şebekeleri ve şifreleri
• Ana ekran duvar kağıtları
• Gmail ayarları
• Google Play aracılığıyla yüklenen uygulamalar listesi
• Görüntü ayarları
• Dil ve giriş ayarları
• Tarih ve saat
• Üçüncü parti uygulamalar için veriler

Üçüncü parti uygulama verilerini otomatik yedekleme işlemi sadece Android 6.0 "Marshmallow" da ilan edilmiştir.

Android 6.0'ın yayınlanmaya başlamış sürümleri, üçüncü parti uygulama veri yedeklemelerini işleme koyma konusundaki "devre dışı bırakma" yöntemini kullandı; yani, geliştirici bu özelliğin uygulamanın bildirim dosyası aracılığıyla kaldırılmadığı sürece, verilerin varsayılan olarak kaydedilmesini ve geri yüklenmesini sağlamaktadır. Android 6 yayın sürümü bunun yerine "opt-in" yöntemini kullanarak bu davranışı tersine çevirmiştir. Verilerin otomatik olarak yedeklenip geri yüklenmesi için uygulamanın manifest dosyasında veri yedeklemeye açıkça izin vermesi gerekmektedir. 

Tüm Google Fotoğraflar (Picasa, diğer bir deyişle Google+ fotoğrafları) bulutta da depolanır. Aşağıdaki bilgileri kullanılabilir:

• Albümler ve olaylar
• Yorumlar
• Coğrafi etiketler
• Abonelikler
• Sayaçlar
• Fotoğraflarda etiketli kullanıcılar

Araştırma sırasında, kullanıcıya bir e-posta uyarısı göndermeden veya kullanıcının Google Hesabında iz bırakmadan bazı verilerin (en azından konum geçmişi, ön panel öğeleri ve Hangout görüşmeleri) edinilebilmektedir. Google'dan veri almak ve analiz etmek için adli bilişim uzmanları genellikle Oxygen Forensic, Cellebrite UFED, Elcomsoft Cloud eXplorer gibi adli bilişim yazılımını kullanmaktadırlar. Örnek olarak Elcomsoft Cloud eXplorer adli bilişim yazılımı ile aşağıdaki bilgiler elde edinilebilmektedir.

Oxygen Forensic, Cellebrite UFED, Elcomsoft Cloud eXplorer adli bilişim yazılımları kayıtlı parolalar için dahili tarayıcı da dahil olmak üzere Google tarafından desteklenen tüm veri formatlarını dahili tarayıcısına entegre edebilmektedir.