暗網潛航——手機電子取證鑑識——鶴長鳧短

  智能手機已成為市民日常必需品,用戶也存放大量個人資料、訊息及相片在手機內,加上在手機使用大量應用程式及社交媒體。除了成為黑客攻擊對象外,假如被執法機關取走,進行手機電子取證鑑識時,用戶又是否有充份保障呢?

  最近幾個星期,有很多人爭論關於手機電子取證鑑識的事情,我一直在追看這些文章、新聞的評論及讀者留言,發現很多人對於電腦取證概念模糊不清,甚至有很多穿鑿附會的奇怪論點。作為一名電腦取證鑒識人員、我也發表一點意見和大家討論一下。

  大家討論的方向,主要是到底「蘋果」的iPhone,抑或是Google的Android手機,在對抗電腦取證時,哪一個系統比較容易被攻破,在不獲授權的情況下,強制榨出數據。

  首先,電腦取證的最終目標,就是「企圖在沒有取得權限的情況下,強制榨取系統內的數據進行分析,作為證據,以印證關聯事件發生的經過及時間序列」。不過,其實我們行內也有一個專業名稱,叫做「反電腦鑒證術」(Anti-Computer Forensic),從系統內保護私隱,對抗取證技術的安全機制。它的定義就是「使用技術方法,限制電腦取證技術所能獲取數據的數量和質量」。

  究竟iPhone或Android手機,哪個在電腦取證技術下容易被攻破?首先我們要觀察手機系統本身的密碼和存儲加密保護。不管是軟件和硬件機制,所有能夠破解手機系統的電腦取證工具,都是使用已知的系統漏洞和廠商獨有的零日漏洞。

  在這一點上,iPhone和Android不同之處,iPhone是封閉式系統,完全由蘋果公司管理;Android則是開放式系統,容許不同廠商修改及各自管理,而且兩個系統所運行的第三方程式和硬件開放程度也不同,iPhone相對較為嚴謹。

  所以iPhone被發現有漏洞時,一般都會比Android回應得更快,而且被堵塞機率更高,這一方面iPhone是佔有優勢的。當然,若有部份用戶一直相信「更新手機會拖慢你的手機系統,所以最好不要更新」,又或者iPhone已被破解或越獄(Jailbreak),並下載及運行有問題軟件,對我們來說,這就像是天上的鴨子掉在鍋裏一樣,得來全不費功夫。

  下一篇文章,我們則會由應用軟件、硬件及電腦取證人員角度,分析用戶手機被入侵機會。

TOZ聯合創辦人

龐博文


hd