LR 警察查手机的东西长什么样?—— 从技术角度看移动设备取证
【2020年8月21日存档】这是一个不断快速发展的领域,因为设备和功能的变更很快。但目前为止它已经足够危险,于是,人们必须至少了解它能做到什么、如何做的,才能有希望开启公正的辩论
关于移动设备取证的概述,您可以回顾早前的文章《数字取证正在泛滥:政府可以从你的手机中提取哪些数据?》
本文将引用公开获取的信息以及 Privacy International 使用 Cellebrite UFED Touch 2 进行手机提取的经验来研究移动设备取证技术。
欢迎该领域专家的意见。这是一个快速发展的领域。即便手机制造商宣布了新的安全功能,提取数据的技术也能找到新的方法来绕过限制。
手机提取技术的一般说明
移动电话提取技术(也称为移动取证)需要与目标设备进行物理连接。就是警察把您叫到警局里去用的那个东西。
虽然取证专家、黑客和销售间谍软件的任何人都能够访问和提取数据 —— 甚至可以远程做到这件事,但本文仅着眼于将其产品出售给执法部门的最知名的商业公司,例如 Cellebrite、Oxygen Forensic Detective 和 MSAB。
Android 和 iOS
在研究提取技术时,我们的分析重点是 Android 和 iOS。 Android 是全球领先的手机操作系统,“根据IDC的数据,在2017年第一季度,Android 占据了整个行业85%的市场份额。”
iOS在安全性方面处于领先地位,并提出了最大的法证挑战。 “ …没有密码,我们几乎无法从现代iOS设备中提取任何东西。”
例如,iOS 的USB受限模式(最早出现在iOS 11.4.1中)在最后一次解锁一小时后禁用USB通信,这会导致进行数据提取的行为出问题。
随着iOS发行版中USB限制模式的发展,对于取证界的许多人来说,这仅仅是要克服的挑战。
这不奇怪,移动电话提取技术完全可以被描述为军备竞赛,供应商不断寻求克服手机安全性增加的障碍。
“我们想从坏消息开始:如果您正在研究运行 iOS 8 或更高版本的 iPhone … 解锁它的机会根本上不高 … 在iOS 11上,这个问题变得更加严重 —— 即使受检查的设备本身没有密码保护,检查者仍然需要密码,因为必须输入密码来确认设备与工作站之间的信任。”
在取证功能方面,iOS 和 Android 之间的一个重要区别是,尽管 Apple 可以直接向用户推送更新、修补漏洞,但 Android 用户主要依靠制造商和运营商来提供更新。
⚠️ 这导致许多 Android 手机运行的是较早版本的操作系统,也就是说,意味着各种形式的提取都是可行的。各种各样的操作系统版本和使用它们的硬件平台提供了广泛的数据提取方法。
漏洞
在评估 MPE 技术时,该项目着眼于一些用于获取数据的漏洞,尤其是对于 Android 手机而言,例如对具有高通芯片组的设备使用紧急下载模式。
当前警察都使用哪些技术来访问、提取和分析手机中的数据?
“移动设备取证可能是数字取证领域曾经或将要看到的最迅速发展的学科,主要是因为实际设备的环境瞬息万变。
设备操作系统每一天都在变得更加先进,并且当前设备上的存储容量是天文数字。当今的设备是移动计算平台,但是访问这些设备中包含的数据比从任何其他数字设备访问数据都要困难得多。”
访问手机和提取数据并不是什么新鲜事。但是,随着每个人手机上数据量的爆炸式增长、以及 “移动设备景观日新月异’’,访问、提取和分析这些数据的能力变得越来越困难和复杂。
从芯片组(高通,联发科技)到操作系统版本,提取技术会因手机的硬件和软件而异。从移动设备提取数据是成功的一半。操作系统、安全功能和智能手机的类型将决定您对数据的访问量。”
加密和其他安全措施也带来了重大挑战。
“随着移动技术的不断成熟以及安全性和加密技术的不断增强,知道如何在受密码保护的智能手机上访问数据变得越来越困难。”
有三种通用的提取类型:逻辑、文件系统和物理 —— 这提供了一种考虑提取技术的框架。
没有单独一种技术可以访问和提取所有电话中的所有数据,并且不能保证一种提取方法能够成功。
正如电话取证公司 MobilEdit 所承认的那样,在评论美国国家标准技术研究院(NIST)用于移动设备获取的测试结果时:
“在经过测试的竞争工具中,各个数据类型之间的结果存在显著差异。每个工具都能够展示出相对于其他工具的某些优势,并且没有一个工具能够在所有测试类别中都表现出优越性。我们的结论是,执行交叉引用工具分析时,成功率显著提高。在现实世界中,当有案件时,每一项证据都很重要。结合使用多种工具,您可以获得高达89.6%的总体成功率。”
物理采集通常是首选方法。它从设备存储中以二进制形式提取原始数据。即使有可能,也存在一种观点,即 “应该始终获得逻辑采集,因为它可能仅包含解析的数据并提供检查原始内存映像的指针。”
诸如移动设备的状态之类的因素将确定是尝试逻辑提取还是物理提取。
“检查的类型取决于设备的电源状态以及设备是否被锁定、是否受密码保护还是被禁用(拆卸或损坏)… 并非所有移动设备都可以进行物理提取。例如,iPhone 5 ~ X 无法使用非侵入性方法进行物理提取”。
进行手机提取的现实情况是,您将常常不得不尝试使用该工具提供的所有类型的提取。但是,执行此操作的能力将受到时间、资源和专业知识的限制。
⚠️云提取是一个发展中的领域,您可以在这里看到详细解释《让政府机构从您使用的应用程序中提取大量数据的秘密技术:云取证》。
由于掌握了保存在远程服务器中的内容,并且没有数字取证技能的人都可以访问,并可以花钱买到完全抓取的一键式的技术,这种发展尤其令人不安。
云提取是从手机上的内容到可访问所有内容的飞跃,它是对加密和设备锁定的一种反应,这些加密和设备锁定使传统手机取证变得困难甚至不可能,然而却对存储在云中的任何信息量做出了完全的响应。以下是文件内容:
“当今的数字调查人员不应忽略存储在各种云服务中的数据的重要性。云数据非常重要,从传统来源(例如移动设备、闪存介质或计算机)收集的信息是有限的,不确定的或根本无法获得的。”
⚠️ 提取数据后,就会提供一些令人印象深刻的产品来读取和分析提取的数据。这些产品越来越多地具有人工智能功能以协助取证人员。
分析:访问和提取:物理、逻辑、文件系统
首先分析提取的三种主要类型:逻辑、文件系统和物理以及用于执行提取的工具。这些方法的技术性以及它们可以提取的数据的类型和数量各不相同。
如 Magnet Forensics(下图)中的幻灯片所示,可以通过 iTunes / ADB 备份或安装代理来实现逻辑提取。使用特权访问(例如 root 或越狱)的文件系统;和物理使用恢复或引导加载程序的方法。
还有其他侵入性方法可以从电话中提取数据。 JTAG(联合测试行动小组)、ISP(系统编程)和 Chip-off —— 与最新技术相反,它更多地依赖于取证技能,因此在此进行了简要介绍。
JTAG用于在制造后验证设计并测试印刷电路板。它涉及连接到标准测试端口以传输来自存储芯片的原始数据。ISP “是为了下载设备的完整内存而连接到 eMMC 或 eMCP 闪存芯片的一种做法”。Chip-off 是一种破坏性方法,该方法基于从系统板上卸下内存芯片,并且使用芯片读取器来提取存储数据。
最后,手动提取不需要复杂的工具,并且:
“ … 只涉及滚动设备上的数据,并通过使用设备的键盘或触摸屏直接在手机上查看数据。然后将发现的信息以照相方式记录下来 …… 在此级别上,无法恢复已删除的信息并获取所有数据。”
逻辑提取
“逻辑提取是关于提取逻辑存储对象,例如文件系统上的文件和目录。
使用设备制造商的应用程序编程接口来进行手机的逻辑提取,以使手机中的内容与计算机同步。
许多取证工具都执行逻辑提取。它很容易执行,并且只恢复手机上的文件,而不恢复未分配空间中包含的数据。”
它是什么?
在三种提取类型中,逻辑被认为是最快的、最不侵入性的、但最受限制的。它会创建用户可访问文件的副本,例如电话簿、电话、消息、一些应用程序数据、以及您可能希望从 iTunes 或 Android 备份获得的其他数据。即 如果您手动检查设备上的每个屏幕,将会看到的东西。
MSAB 自称为 “移动设备取证技术的先驱”,它将其 XRY Logical 推销为 “我们为法证研究人员提供的入门级解决方案,以及我们许可证选项的起点”。
“ XRY Logical 使用户能够进行快速提取(iTunes 备份、Android备份、Android Agent),并且适合于 “抽检” 检查模式。”
如果某些应用未备份到构成提取一部分的文件中,则逻辑提取可能会排除这些应用中的数据。要访问这些应用程序,您需要访问文件系统。
因此,您仅能获得可通过供应商的API获得的信息,手机会限制您可以访问的内容。但是,对于 Android 手机,可以通过将目标应用程序降级到允许adb备份的旧版本来获取应用程序数据。
据报道,此功能在较新版本的 Android 中被阻止。尽管 Cellebrite UFED 7.16 在APK降级方法上进行了更新,但它表示 “可以从运行6.0及更高版本的 Android 设备上的40多个应用程序中访问文件系统数据”。
逻辑提取通常不包括数据的完整逐位副本,也不会恢复已删除的数据。但是,如果使用 SQLite 数据库(例如 Cellebrite 的 SQLite 向导)来存储数据,则可以恢复已删除的记录,包括短信、聊天记录和浏览历史记录。
它是如何工作的?
逻辑提取包括 “通过USB电缆、RJ-45电缆、红外或蓝牙将移动设备连接到取证硬件或取证工作站”。
连接电话后,取证工具 “启动命令并将其发送到设备,然后由设备处理器解释。” 取证工具与移动设备的操作系统进行通信。
“… 从设备的内存中接收并发送回取证工作站。稍后,审查员可以检查数据。当前可用的大多数取证工具都在这一级别上工作。”
使用应用程序编程接口(API)是执行逻辑提取的一种方法。Cellebrite 是一家受政府机构欢迎的领先取证公司,他们说:“从技术角度来看,基于API的逻辑提取很容易实现,并且结果以可读格式提供。
Cellebrite 的 UFED Touch(带有UFED软件的硬件)和 UFED 4PC(安装在计算机上的软件)通过使用API与设备的操作系统进行通信来工作。
“数据的逻辑提取大部分是通过设备供应商提供的指定API执行的。正如API允许商业第三方应用程序与设备OS进行通信一样,它还支持取证声音数据。
连接后,UFED将相关的供应商API加载到设备。然后,UFED进行只读API调用以从电话中请求数据。回复有效的API请求以提取指定的内容项,例如文本消息(SMS)、电话簿条目、图片等。”
使用 Cellebrite UFED Touch 2 在 iPhone 上进行逻辑提取的方式类似于 iTunes 或 iCloud 进行备份的方式,它在电话屏幕上显示提取数据的各种提示,例如“备份呼叫数据”(Y/N)
一些取证工具会将App或代理安装到设备上,以尝试提取其他数据。
“最好的移动取证软件,例如:UFED (Cellebrite), Oxygen Forensic, XRY (Microsystemation), Secure View (Susteen), MOBILedit Forensic 都可以通过在设备上安装代理程序来从 Android 设备提取数据。”
MobileEdit Forensic 扫描连接的设备,如果检测到 Android 设备,则上传代理 Forensic Connector,并使用此代理从设备中提取数据。
即使解锁,也不保证所有设备都可以进行逻辑提取。例如,Cellebrite 的产品更新列出了支持的手机:
利用漏洞
与所有形式的提取一样,有几个因素会影响是否可能。
首先是操作系统。如果是 Android,则已启用USB调试,从而启用了设备上的ADB服务器并且已接受RSA密钥(安全提示),已将个人计算机(“ PC”)和电话配对,于是可以执行逻辑提取。
如前所述,这通常是ADB备份,结合了将 Android APK 推送到设备并使用可用命令来提取活动记录,如 SMS / MMS、呼叫日志和联系人。
Mikhaylov 指出,根据所使用的 Android 版本,激活USB调试模式需要采取不同的步骤。要启用USB调试,将需要密码。尽管某些运行Android的设备似乎是出厂时默认启用调试的(例如,隐私国际组织在2016–17年测试的 Innotab Max)。
USB调试模式是 Android 手机中的开发人员模式,它允许通过USB将新编程的应用程序复制到设备进行测试。它允许 Android 设备从计算机接收命令、文件等,并允许计算机从 Android 设备提取关键信息(例如日志文件)
启用USB调试会使设备暴露在外。 ADB Android Debug Bridge 是Google的 Android SDK 附带的命令行实用程序,它可以用计算机通过USB控制您的设备。
如果没有USB调试,除非使用漏洞,否则不太可能进行逻辑提取。
根据诸如电话类型、使用的漏洞、软件版本等因素,都有可能进行逻辑提取。
查看此问题的另一种方法是考虑用户数据是否存储在闪存中,如果存储,则是否受到保护并且需要root访问权限才能读取。
Magnet Forensics 的 Christopher Vance 描述了一个逻辑提取漏洞的示例,它只能针对文件系统的特定区域:
“/media/ directory 可以容纳更多内容。它还可以包括文档、从Web浏览器下载的内容、WhatsApp 聊天备份、以及开发人员选择在此处存储的第三方应用程序数据。”
使用媒体传输协议(MTP)提取加密和损坏的 Samsung Galaxy S7 SM-G930V(无法输入密码或打开USB调试的情况下)是避免密码和授权的一种选择。
但是,虽然适用于某些 Android 手机,但三星v.6在将其插入计算机后已将默认连接类型更改为 “仅充电”,因此必须启用MTP。Magnet AXIOM 具有 “高级MTP旁路方法”:
“ … 为未收到 SMR-OCT-2017 或 SMR-NOV-2017 安全更新的三星设备获取设备上 / media / partition 的快速映像(修补程序的确切更新取决于设备型号)。iPhones 即使该设备未启用MTP或已被密码锁定,该选项也使我们能够提取一些数据进行分析。”
解锁 iPhones
虽然 “ … 解锁 iPhone 就可以获得逻辑提取”,但锁定的 iPhone 还是有问题的,因为有两种单独的状况要处理。
如果找不到标准的 iTunes 提供的驱动程序,并且默认恢复MTP模式,则激活与计算机的配对模式并允许 iTunes 备份;如果设备在进行提取的PC上具有有效的配对记录,则可以从锁定的 iPhone 获得逻辑提取。不幸的是,没有它就无法获得。
在较旧的iOS版本中,可以从已锁定的iPhone中仅获取MTP提取,但此问题已得到修补,新版本就不行了。
文件系统提取
从技术上讲,文件系统提取通常被视为一种逻辑提取。与所有形式的提取一样,文件系统提取的功能将取决于设备。
文件系统提取比逻辑提取能获得略多一些的数据,在文件系统提取中,整个文件系统都能被提取出来。
“它包含的信息比定义的逻辑提取要多得多,因此应被视为逻辑提取的进一步提升。文件系统包含设备用来填充应用程序、系统配置和用户配置以及用户存储区域的文件和文件夹。”
它包含用户无法通过设备界面直接访问的文件,并且需要专用工具来访问文件系统工件。它不会提取未分配的空间。
使用专有文件系统的功能手机可以收集并显示其文件系统,包括系统文件、用户数据库、媒体、用户文件、日志、用户设置等。 … 通过拥有实际的文件,您可以进行更详细的分析,应该认为它比“逻辑”所定义的价值更大。”
文件系统提取通常需要root,因为超级用户才有权对手机系统中任何位置的任何文件执行任何操作。
Cellebrite UFED 的 “高级逻辑提取” 结合了iOS和Android设备的逻辑和文件系统提取,是无法进行物理提取的替代方法。它们的解释是:
在使用A5-A11芯片(iPhone 4s和更高版本)的iOS设备上进行物理采集是不可能的。因此,高级逻辑提取方法是最好的支持,并且如果这些设备被解锁(即使它们没有越狱),也完全可以从这些设备中提取最多的数据。如果设备越狱,则可以提取其他数据。”
它是如何工作的?
文件系统提取很少被识别为一种独特的提取形式。而 Cellebrite 几乎独特地促进了UFED的文件系统提取,并且是少数引用该方法的公司:
“使用 UFED Physical Analyzer 提取文件系统几乎与物理提取相同,因为它依赖于引导加载程序来访问设备的内存;但是,该软件不会仅提取设备文件系统而不获得包括未分配空间的逐位映像。这种提取过程是专有的,而不是依赖于Apple的 API。”
MSAB 没有特定的文件系统产品,仅是 XRY Logical 和 XRY Physical。Oxygen Forensics 是指将文件系统提取作为 “经典逻辑” 的一部分。
利用 Magnet 的提取工具,您可以选择提取过程,可以从所有iOS和Android设备进行 “快速提取”,也可以通过 “已root的 Android 设备的物理映像或越狱的iOS设备的文件系统逻辑映像” 进行全面提取。
“如果设备已root,则可以创建物理转储。如果没有root,则会创建该设备的备份,并提取该设备的存储卡中的所有文件。”
但是,文件系统提取是无法物理提取iOS设备的替代方法。不幸的是,密码是必需的。
“从iOS 8开始,即使在32位设备上,即便移除密码也是没有意义的。解密数据分区所需的加密密钥是根据用户输入(密码)和 Secure Enclave 的密钥动态计算得出的。没有正确的密码,iPhone将保持加密;根本没有办法解决。”
Secure Enclave 是 “基于硬件的密钥管理器,与主处理器隔离,可提供额外的安全性。” 结果是加密密钥受 Secure Enclave 保护,即使设备越狱也无法访问。
但是,“换句话说,必须知道密码,才能对从iPhone 5s开始的所有iPhone设备进行(有限的)物理采集。”如果您越狱了设备,则可以获得文件系统提取。为此,您需要使用密码启动和解锁设备。
“换句话说,必须知道密码,才能对从 iPhone 5s 开始的所有 iPhone 设备进行(有限的)物理采集。”
“ Secure Enclave 为iOS法证审查员带来了新挑战。现在,我们无法提取解密设备映像所需的加密密钥,因此物理提取无用。但是文件系统的提取可以。不幸的是,这要求将iOS设备越狱。”
与逻辑提取不同,一旦获得了文件系统,就需要对其进行解码。
解码过程将数据库文件中的原始数据转换为可识别的格式。通过API和备份提取的数据不需要解码,可以显示媒体文件,例如在设备上看到的图片和视频。但是,必须单独解码其他数据库文件(例如包含文本消息的文件)中的数据,以解析出这些消息。
UFED Physical Analyzer 会自动执行此解码过程,以人类可读格式以及原始数据存储在设备内存中的形式显示解码后的数据。” UFED Physical Analyzer 会自动执行此解码过程,以人类可读格式以及原始数据存储在设备内存中的形式显示解码后的数据。”
利用漏洞
Cellebrite 声称使用其内部实验室 “Cellebrite Advanced Services” 提取了iOS设备的完整文件系统,可以从32GB闪存中获取21GB。
Cellebrite 宣传其 “高级服务” 不是将重要的漏洞释放给 UFED,例如,这将为Apple提供修补漏洞的机会。而是没有公开披露的用于执行iOS设备的完整文件系统提取的漏洞。
这样做有三个主要好处。首先,⚠️可以从第三方应用程序获取数据,比如WhatsApp、Facebook Messenger、Telegram。除非执行完整文件系统提取,否则无法恢复数据。这些应用程序以及更多应用程序可以保存有助于您结案的关键信息。”
⚠️ 即:完整文件系统提取可以获取 iTunes 备份中排除的第三方应用程序。它还可以识别目标设备的位置,显示系统日志和应用程序日志数据。
Cellebrite Advanced Services 的使用一直存在争议。 去年6月,英国数字证据实验室 Sytech 的一名前雇员表示了对证据处理的担忧,其中包括 “在没有监察的情况下将手机发送到国外进行解密”。
Magnet Forensics 还指出,它可以获取完整的文件系统。它与 GrayKey 合作提供了 “最先进的解决方案,可从iOS设备恢复数据,包括完整文件系统、解密的钥匙串和进程内存,而其他工具则仅限于 iTunes 备份。” 据说 GrayKey 可以解锁iOS设备并绕过USB受限模式。
Magnet Forensics 报告称,他们随后可以获取第三方应用程序数据,而不止 iTunes 备份、Apple Mail数据、Web缓存和应用程序缓存、操作系统数据、位置数据、钥匙串数据、和一些已删除的消息等方面:
“ GrayKey 可以获取设备的完整文件系统映像,这意味着与我们的标准工件一起存在的临时文件或支持文件现在可供审查。
最好的示例是 sms.db-wal 文件,该文件与 sms.db 位于同一目录中。sms.db 允许检查者恢复和解析 iMessage、SMS消息和MMS消息。
但是,由于该数据库利用了SQLite的 “预写日志” 功能,因此实际上将消息写入到 sms.db-wal 文件中,然后再提交到 sms.db。这可能会导致恢复可能已删除的消息时出现问题,具体取决于消息在删除之前在设备上的停留时间。
如果消息在发送/接收后立即删除,那么使用标准 iTunes 式提取来恢复这些消息的可能性要小得多。但是,由于 GrayKey 允许我们提取完整的文件系统,因此我们现在可以访问此文件,并且 AXIOM 将尝试保留预写日志中留下的任何消息痕迹,包括可能删除的消息。”
鉴于 iPhone 漏洞的价值,关于文件系统提取的信息很少。诸如 Android 之类的其他操作系统也没有太多信息,也许是因为仍然有可能执行作为首选的物理提取。
物理提取
物理提取可以获取 “服务数据、应用程序和用户数据”。可以从物理转储中恢复已删除的文件。
物理提取是物理存储/整个文件系统/设备内存的逐位副本,或作为十六进制转储。它通常需要特定的电缆连接,并且涉及将手机引导到自定义操作系统或重置。
物理提取通常会花费很长时间,因为它也会带来可用空间,但是可用空间可能包含已删除的信息,因此从警察的角度来看可能是值得的。
“长期以来,物理提取一直是手机和嵌入式设备的理想取证方法。传统上,此方法包括对存储芯片的物理访问,以获得对基础闪存的原始读取。这种方法不仅可以访问数字数据,而且可以通过对物理存储进行快速分析,发现未使用的区域和块,这其中可能包含已删除的数据并具有重要的取证价值。”
⚠️ 它是所有提取中最全面、最具侵入性的,并且包含手机上所有未分配的空间,因此它可能包含已删除的文件。
“ Cellebrite 的物理提取功能可以访问已分配和未分配空间中的其他数据层,这些数据层构成了电话的物理内存。这些层包括与调查人员相关的三组不同的内容:
无法通过API获得的“逻辑”内容(例如,手机上的通话记录);
已删除的内容;
手机收集的内容无需任何用户操作(有时无需用户了解)。例如:Wi-Fi网络,GPS位置,网络历史记录,电子邮件标头以及图像和系统数据上的EXIF数据。”
它是如何工作的
十六进制转储,也称为物理提取,是通过将设备连接到取证工作站并将未签名的代码或引导加载程序推入手机,指示手机将内存转储到计算机来实现的。
由于生成的原始映像为二进制格式,因此需要技术专家进行分析。该过程… 为检查者提供了更多的数据,并允许从大多数设备上未分配的空间中恢复已删除的文件。”
MSAB 声明其 XRY Physical 产品通过绕过操作系统访问所有系统和已删除的数据。它们可以克服(某些)锁定设备上的安全性和加密挑战。
“对移动设备数据的物理采集应该意味着与设备内部的数据存储进行直接通信,以采集存储在实际设备闪存中的数据。这些数据是闪存存储区域中的快照,可以通过专门的工具和方法来获取。”
“在整个磁盘上启用加密功能后,除非检查员能够检索到设备的加密密钥,否则整个物理读取将无法使用。
XRY Logical 的 XRY Physical 插件可以让用户对一些 Android 设备进行密码旁路、板载存储芯片读取等高级移动取证任务。”
在 Android 手机上,此方法通常需要卸下电池关闭手机电源,而且充电线通常是专用的而不是使用标准的充电线。
Cellebrite 会全程指导必须进行哪些步骤,什么时候必须进行,包括开机时需要按住哪些按钮才能开启 FastBoot、Bootloader、Recovery、Factory Reset等,具体取决于目标设备。
设备进入 FastBoot 后,Cellebrite 的工作相当自动,它有时会提示你在手机屏幕上选择选项或重启手机。
物理提取, 我们做了一个 iPhone 4 的实验, 在iOS引导过程中使用的一个bug允许无符号代码执行 (其技术用于越狱旧的 iDevices) Cellebrite 然后运行了自己的操作系统,而不是iOS,以从手机中提取数据.
物理提取可能使用手机的救援模式或下载模式。”在这种模式下运行,手机在启动时,可以在RAM中插入一小段代码,称为引导加载程序” ,引导加载程序会读取设备内存中的内容,并将其送回提取设备。Cellebrite 指出,”… 在设备启动的初始阶段,UFED 会将引导加载程序发送到设备上。
Cellebrite 的引导加载程序是针对每个单独的设备平台内部设计的,同时考虑了芯片组、外设、内存芯片接口和USB控制器的种类。
“UFED 已经获得了数据解密后访问操作系统内部的权限。然后,它可以以解密形式提取原始的、块级的数据。再次通过利用 Cellebrite 发现的漏洞来实现。这些漏洞在被发现后很少会对公众开放。很多时候,Cellebrite 的安全研究实验室对漏洞及其带来的机会拥有独家了解。
⚠️ 随着iOS和 Android 软件的发展,隐私保护、沙盒隔离机制和安全缓解措施的推进,这些知识只会变得更加值钱。”
iOS挑战
苹果的iOS系统为物理提取带来了最大的障碍。在 iPhone 4S 之前,你可以在 iPhone 上进行物理提取。但是自从 iPhone 4S 以及其他已经进入市场的设备,由于硬件加密的原因,要想进入到设备中是非常困难的,甚至是不可能的。虽然一些厂商的说法是 “可以”。
“物理采集在恢复iOS设备上的数据方面具有最大的潜力;然而,这些设备上目前和不断发展的安全功能(安全引导链、存储加密和密码)可能会阻碍数据在取证过程中的可访问性。
研究人员和商业取证工具供应商正在不断尝试新的技术来绕过安全功能,在iOS设备上进行物理提取,但对于最新的机型来说,唯一可用的选择就是越狱,即使是这样也无法帮助你用 Secure Enclave 对设备进行物理提取……”
Elcomsoft iOS Forensic Toolkit 5.0表示,它可以实现iOS 12的物理提取。这听起来和上面介绍的Cellebrite的全文件系统提取类似。它可以提取文件系统的内容,并解密iOS密钥链中存储的密码和验证凭证。在 “没有越狱 “支持的设备上都可以实现。
⚠️ “Elcomsoft iOS Forensic Toolkit 支持从越狱和非越狱的64位设备中提取和解密数据的所有可能选项,包括上一代苹果硬件和软件。
在没有越狱的情况下,可以通过iOS系统备份、提取共享的App数据和媒体文件,进行逻辑提取。
在某些情况下,如果 iPhone 被锁定,甚至也可以进行逻辑提取。如果能越狱,就可以对64位 iPhone 的文件系统进行镜像,提取受保护的应用数据和工作数据集。”
“物理采集与所有其他采集方式相比具有众多优势,可以访问文件系统中受保护的部分,并提取不与 iCloud 同步或不包含在本地备份中的数据。
特别是,物理提取是唯一一种针对最高保护级别的密钥链项目的解密方法。文件系统提取可以获得对应用沙盒和所有系统区域的完全访问权限,⚠️提取私密聊天记录,恢复已删除的邮件,下载电子邮件、聊天记录和双因素身份认证应用中的秘密、系统日志和详细的位置数据等,都是文件系统提取的独家功能。”
针对 iOS 11 设备的 Elcomsoft iOS Forensics Toolkit 使用经典越狱。
“取证专家们使用越狱的原因与热心用户相比有很大不同。安全漏洞正是他们想要暴露设备的文件系统、规避iOS沙盒保护和访问受保护的数据的途径。越狱可以从设备中提取最大的数据集。在越狱过程中,iOS的许多软件限制都是通过软件漏洞来消除的。
除了沙盒之外(包括对话历史记录和下载的邮件),还可以提取和解密钥匙链,这是一个广泛存储在线密码、认证令牌和加密密钥的系统。与从受密码保护的本地备份中获得的钥匙链项目不同,越狱设备的物理提取可访问具有最高保护等级的钥匙串项目。”
Android – Using vulnerabilities:紧急下载模式
“这似乎不寻常,但可以在不进行root的情况下对安卓设备进行物理转储,不需要 JTAG 和 Chip-off 方法。”
紧急下载(EDL)模式是一个被用来进行物理提取的漏洞。它适用于部分但不是所有搭载高通芯片组的设备。EDL是高通公司用于手机诊断和修复的救援模式,它通过各种触发器或当设备无法启动时暴露出来。它 “设计用于允许低级别访问芯片组以进行设备分析、维修或重新设计。”
Cellebrite 公司有多种准备好的 “编程器”,这些 “编程器 “是 “包含原始闪存读写功能的软件片段”。可以通过设备验证的厂商签名进行数字签名,所以要让EDL接受和验证一个编程器,它必须与硬件和签名要求相匹配。
当 Cellebrite 的UFED启动 EDL 提取流时,它将自动尝试将其现有编程器与硬件和签名要求进行匹配。如果有匹配,那么它将拥有闪存的读取权限。如果对某款手机没有签名需求,那么它就会匹配硬件。据 Cellebrite 称,UFED有一个专有的漏洞利用,可以绕过多个芯片组的签名要求。
将设备置入EDL模式的方式因手机而异,从 Cellebrite 的UFED等各种可以支持的技术到需要取证技巧的侵入性技术,不一而足。如果 Cellebrite 支持 EDL,UFED 可以指导你做什么,比如说,按住VOL向上和向下。
Cellebrite 的 UFED 有解密和非解密 EDL 提取选项。如果设备被加密,这两种方案都可以在模式或密码锁定的设备上工作。加密设备的解密提取将需要设备启动,这样UFED就可以应用解密引导加载程序,而非解密EDL提取则不需要。
对于这两个选项,在使用UFED时,用户将能够选择将设备置于DFU(诊断模式)FTM(出厂测试模式)。这两种模式都使用EDL方法。
Cellebrite 还提高了使用 “智能” ADB的能力:
“凭借这一突破性的功能,Cellebrite 可以在启用ADB的情况下恢复对许多启用了全盘加密的新设备的物理提取访问权限。该方法需要安卓6及以上版本,并对许多厂商有广泛的通用覆盖。”
Oxygen Forensic Detective 指出,使用EDL模式 “可以使研究人员在电话成功进入EDL模式后,在400多种独特设备上利用这种非侵入式物理提取技术和锁屏旁路。”
分析:对提取的数据进行分析
提供了许多具有令人印象深刻的分析功能的工具,以帮助警察处理提取出来的数据。
“有很多工具可以对运行 Android 操作系统的移动设备进行物理转储和备份分析。这些工具包括在所有最好的移动取证工具中,如UFED物理分析器(Cellebrite)、Oxygen Forensics(Oxygen Forensics,Inc)、XRY(MSAB)、MOBILedit Forensic Express(COMPELSON Labs)和Secure View(Susteen)等。”
“使用第三方工具进行检查和分析,一般是将设备的内存转储导入移动取证工具中,由移动取证工具自动调取结果。”
Cellebrite 的物理分析器是一款用户友好型软件,可以组织不同文件类型的数据,从 XML、CSV、TXT 到 CDR、媒体和文本等。它可以将来自不同设备的数据集汇集在一起,对数字媒体进行识别和分类。可以显示提取的所有信息。它还具有相当大的数据挖掘和可视化功能。
⚠️ 关系分析是用来分析电话、邮件文本和位置数据,通过不同类型的数据发现个人之间的关系。正如 Peter Sommer 教授在向英国议会作证时指出的那样:
⚠️ “它还利用数据可视化/联系分析技术来展示电话号码之间、IP地址之间的联系频率、金融交易和事件年表等。
英国警方正在试用 Cellebrite 的机器学习工具,以解释图像、匹配面孔并分析目标人的交流方式。
Cellebrite 指出:
⚠️ “… 数据可与其他关键信息来源一起提取,如电子邮件和社交媒体账户的在线活动等。
然后利用人工智能和机器学习对这些来源进行过滤、比较和分析,以产生可操作的洞察力,如地点定位等。
提取的数据可以与网站或社交媒体账户等公共来源的数据相结合,以找到关键信息并进行比较。
警察可以利用这些综合数据建立目标人的详细档案。这些数据还可以建立目标事件的时间线,帮助警察确定发生了什么,并为起诉汇编正确的证据。”
Magnet AXIOM 还利用机器学习:
“机器学习通过 Magnet.AI,提供………..一种经过 “训练 “的预测仪器,可以识别属于………类别的信息。”
“随着 AXIOM 2.0 的推出,Magnet.AI 模块现在可以识别可能包含儿童性侵、裸体、武器和毒品等描写的图片。我们还扩展了文本分类模型,还能检测出潜在的性暗示对话。”
⚠️ 2017年8月,Cellebrite 为其分析平台推出了所谓的 “先进机器学习技术”,可用于分析从云端提取的数据,其中包括人脸识别和匹配。
从2019年7月起,Oxygen Forensic Detective 内置的 Oxygen Forensic JetEngine 模块,利用自身技术对人脸进行分类。
不仅提供提取数据内的人脸分类和匹配,人脸分析还包括性别、种族和情绪识别。
Oxygen 的首席运营官 Lee Reiber 表示,该工具可以 “在证据库中搜索特定的人脸,或者将同一人的各种图像聚在一起。他们还可以根据种族或年龄组,以及 “喜 “和 “怒 “等情绪来过滤人脸。”
这种监视逻辑为什么很糟糕?《说谎的眼睛:根植于维多利亚时代面部识别》
结论
随着移动电话提取的使用越来越多,无论是警察还是边境安检,这些设备的数据将被用于对个人提出质疑,无论是刑事、民事还是移民诉讼和程序。
虽然移动取证是一个快速变化的领域,但本文是一个尝试,可以帮您看到当那些使用强大的提取工具从设备中寻找数据的家伙正在干什么。
移动取证的使用提出了与作为证据形式的提取数据的可靠性有关的复杂问题,特别是,如果是由依赖简单的按钮技术而不是数字取证分析专业不熟练的人使用时,更是如此。
正义的实现取决于证据和信任的完整性和准确性。我们希望,在开始消除该领域的某些复杂性时,我们可以为有关该主题的辩论提供足够的信息。⚪️