下载掌阅APP,畅读海量书库
立即打开
随着漏洞发现的越来越多,寻找手机漏洞也越来越困难,尤其是安卓系统,因为手机厂商在做芯片的同时,更多关注安全模式,应用厂商也在做安全模式。因此,总体来看,安全与取证就是一个博弈的过程。这个过程具体包含以下四个方向。
第一,密码保护,锁屏密码更严格。例如几年前的安卓系统,通常专业人员可以随意绕过密码,或者清除密码,或者采用密码屏蔽,甚者很容易对系统密码进行爆破。而现在,随着密码安全漏洞意识的逐渐提高,安全厂商、OEM厂商都会想办法封锁密码,不让技术人员轻易地使用密码,或者设置越来越多的加密机制,比如指纹密码、虹膜密码等。
第二,全盘加密。从iOS到iOS14时代开启硬盘全盘加密,Android从4.4开始增加了全盘加密,Android从6.0默认开启全盘加密。即使把盘取出来,因为有密钥,别的用户也解不了密,从7.0版本开始就有一个文件加密,就是系统里的每一个文件都有自己的密钥,所以也存在解密的难度。
第三,手机系统备份限制。比如通过各种限制,手机取证无论对司法人员还是技术人员而言都越来越难。
第四,应用数据加密。部分应用会对数据进行加密保护,这导致取证越来越难。比如Let’sTalk,它是直接加密的。即虽然看得到聊天数据,但是提取出来就是加密的,还要对这个应用数据进行解密。
对于手机取证而言,随着加密技术的日益发展,手机取证会越来越难,所以必须通过前沿的漏洞取证的方式,突破手机取证困境,进而使得取证简单化。尤其是面临较为棘手的案件时,的确需要以漏洞思维为导向的方案解决现实难题。
加密机制会使手机取证变得异常困难,主要体现在以下几点。
第一,手机日志的提取。
第二,手机数据删除恢复,如针对微信聊天记录的删除恢复,多媒体数据聊天的数据恢复等,都可以引起诸如微信等安全机制的改变。
第三,微信分身。比如在实际的诈骗案件中,我曾发现嫌疑人手机上装了100多个微信分身,并且做了脚本,这时候应该怎么做?
第四,存储空间不足。实际案件中,当事人的手机存储空间是64G或者128G。由于使用太多导致手机存储空间只剩下1G,如果通过常规备份或者高级备份的方式,手机数据是提取不到的,那这时候应该怎么做?同微信分身一样,只需要对手机做镜像,通过镜像的方式去获取当事人的手机数据。这是实务部门办案场景中经常遇到的实际取证需求。
通过物理镜像的能力和逻辑镜像的能力备份提取手机数据有什么差别呢?
通过物理镜像的能力获取其全盘镜像的能力,备份提取的数据通常是手机自带的短信、联系人、通话记录、多媒体应用数据等。逻辑镜像除了可以提取上述内容,还可以提取应用的分身,因为逻辑镜像的提取针对的是手机全盘的文件系统,不仅可以获取分析数据,还可以获取手机应用的一些散落文件或日志文件。
以上所讲的是现实中的一般通用方案,其实对iOS系统来说,主要应关注iPhone协议允许备份什么,然后才能通过逻辑镜像,获取iPhone协议无法备份的内容。
事实上,不管是对手机全盘做镜像还是漏洞取证,归根结底还是取决于提权引擎。所谓提权引擎就是安全赋能渠道,漏洞取证指通过技术博弈、利用漏洞攻破安全壁垒的过程。
我们所关注的是新一代手机提权技术即手机取证功能,未来,要更好地实现这一技术追求,就要做到以下几点。首先是关注深度,从普通提权方案的60%~80%的数据扩展至全盘取证。其次是关注效率,使得取证更加有针对性。最后是突破常规,使得取证能够满足司法机关的实际需要,对想提取的数据能在第一时间提取。
虽然手机提权技术应用很广泛,但是实践中仍然有很多的手机App、日志、多媒体数据存在无法备份的情况,这是因为应用程序的开发者在文档开发之初,可以通过设置“do not back up”属性来让这些文件不被允许备份到iCloud和PC上,这种情况下,手机提权就不会被允许。比如,司法机关系想要获取当事人iPhone手机上QQ里的音频视频资料,囿于QQ程序开发者的属性设置,对其音视频数据无法提权,这就是常见的iTunes备份限制。
这就需要iPhone协议。但是对于iPhone协议而言,能否备份也有所区别,这是因为iOS安装到手机上之后,会产生三个目录,分别是documents、library、temp。这三个目录的功能分别如下:documents目录用来存放不可再生的数据,比如手机自带的一些数据、聊天的数据库等;library目录用来存放默认设置或其他状态信息,除Caches子目录之外的文件会被iTunes同步;temp用来存放应用再次启动时不需要的临时文件,其存储的信息通常不会被备份到iPhone上,而且由于属性和代码编写之初的设置,该目录层级下的文件可能随时被系统清理,不会被iTunes同步。
我认为对iPhone、iOS提权与iTunes备份的差异主要体现在对一些关键数据、重要数据、敏感数据的收藏,是无法通过iTunes备份来实现的。
但是对iPhone提权可以协助人们获取诸如微信的收藏,QQ的聊天视频、图片、语音数据;提取涉外应用如Twitter、Telegram、Signal、Potato通讯录和聊天记录等;获得系统邮件、电商、地图、网盘类等,取得Gmail、系统邮件等邮件类应用的收件箱和发件箱,获取闲鱼等电子商务类应用的通讯录和聊天记录;同时能协助人们获得系统数据,诸如常去地点、行为痕迹、keychain等数据信息。
定向取证指的是通过提权技术,针对取证需求选择性定向提取和分析数据的行为,主要目的是提高手机数据获取的效率。这是手机备份功能无法实现的。iTunes备份功能是全盘数据的复制、分析,全部数据的解析,效率较低且耗时较长,而提权就可以解决这种问题。对于Android系统而言,同样也可以利用漏洞提权能力进行数据的收集和解析。利用盘古石实验室团队自主创新的具有Android提权能力的软件Pan ADB,只需要将Android手机连上电脑,打开USB调试并允许,就可以坐等数据提取完毕,提取范围涉及多个厂家、多种机型Android5—Android8系统的提权,包括华为、小米、OPPO、vivo、三星等厂家的手机。
通常情况下,我们可以通过提权满足以下十个场景的取证需求。第一个是iOS取证;第二个是Android提权;第三个是定向提取;第四个是应用分身;第五个是小众应用,因为有些小众应用,像某些涉外应用,不允许备份,只能通过提权的方式获取数据;第六个是隐私空间,隐私空间不同的手机可能有不同的称呼,如三星的安全文件夹,小米的系统分身,可以利用隐私空间的漏洞破解手机应用锁密码;第七个是行为痕迹,主要涉及手机应用的安装使用、卸载、使用时间等的痕迹;第八个是删除恢复,恢复安装目录之下的缓存文件或iOS数据库文件;第九个是云取证联动,这是通过提权获取密钥进而去做云取证;第十个是仿真联动,可以将检材手机上的数据保存到另外一台手机上,比如舆情处置,可以将行为人发布在WhatsApp或其他应用的涉外言论仿真到仿真机上,进而删除不良舆论。