这是一个不断快速发展的领域,因为设备和功能的变更很快。但目前为止它已经足够危险,于是,人们必须至少了解它能做到什么、如何做的,才能有希望开启公正的辩论。
本文将引用公开获取的信息以及 “隐私国际” 组织使用 Cellebrite UFED Touch 2 进行手机提取的经验,来研究移动设备取证技术。
始终欢迎该领域专家的意见。明显的,这是一个快速发展的领域。即便手机制造商宣布了新的“安全功能”,提取数据的技术也能找到新的方法来绕过限制。
移动电话提取技术(也称为移动取证)需要与目标设备进行物理连接。就是警察把您叫到警局里去用的那个东西。
虽然取证专家、黑客和销售间谍软件的任何人都能够访问和提取数据 —— 甚至可以远程做到这件事,但本文仅着眼于将其产品出售给执法部门的最知名的商业公司,例如 Cellebrite、Oxygen Forensic Detective 和 MSAB。
在研究提取技术时,我们的分析重点是 Android 和 iOS。 Android 是全球领先的手机操作系统,“根据IDC的数据,在2017年第一季度,Android 占据了整个行业85%的市场份额。”
iOS在安全性方面处于领先地位,并提出了最大的法证挑战。 “ …没有密码,我们几乎无法从现代iOS设备中提取任何东西。”
例如,iOS 的USB受限模式(最早出现在iOS 11.4.1中)在最后一次解锁一小时后禁用USB通信,这会阻碍进行数据提取。
随着iOS发行版中USB限制模式的发展,对于取证界的许多人来说,这仅仅是要克服的挑战。
这不奇怪,移动电话提取技术完全可以被描述为军备竞赛,供应商不断寻求克服手机安全性增加的障碍。
在取证功能方面,iOS 和 Android 之间的一个重要区别是,Apple 可以直接向用户推送更新、修补漏洞,而 Android 用户主要依靠制造商和运营商来提供更新。这导致许多 Android 手机运行的是较早版本的操作系统,也就是说,意味着各种形式的提取都是可行的。各种各样的操作系统版本和使用它们的硬件平台提供了广泛的数据提取方法。
在评估 MPE 技术时,该项目着眼于一些用于获取数据的漏洞,尤其是对于 Android 手机而言,例如对具有高通芯片组的设备使用紧急下载模式。
当前警察都使用哪些技术来访问、提取和分析手机中的数据?
“移动设备取证可能是数字取证领域曾经或将要看到的最迅速发展的学科,主要是因为实际设备的环境瞬息万变。设备操作系统每一天都在变得更加先进,并且当前设备上的存储容量是天文数字。当今的设备是移动计算平台,但是访问这些设备中包含的数据比从任何其他数字设备访问数据都要困难得多。”
访问手机和提取数据并不是什么新鲜事。但是,随着每个人手机上数据量的爆炸式增长、以及 “移动设备景观日新月异’’,访问、提取和分析这些数据的能力变得越来越困难和复杂。
从芯片组(高通,联发科技)到操作系统版本,提取技术会因手机的硬件和软件而异。从移动设备提取数据是成功的一半。操作系统、安全功能和智能手机的类型将决定您对数据的访问量。”