|
手機(jī)取證技術(shù)不斷發(fā)展,在近期的《手機(jī)取證的未來》一文中����,我們介紹了當(dāng)時的手機(jī)數(shù)據(jù)提取技術(shù)現(xiàn)狀���。文章發(fā)表三個月之后�����,很多事情發(fā)生了變化��。我們的文章發(fā)表在Forensic Focus(國外一個類似取證中國的電子取證論壇)��,并和網(wǎng)友進(jìn)行了在線討論��,一些讀者指出了文章中的瑕疵之處�����。在本文中����,我們用最新的信息來解決上篇文章中的問題。
1 iOS 8.4取證
上篇文章發(fā)表以來��,iOS 8.x取證方面變化不大��,但還是有一些進(jìn)展���。iOS 8.4越獄問題已經(jīng)被太極越獄團(tuán)隊(http://www./en/)成功攻破���,無論32位的設(shè)備還是64位的設(shè)備,越獄后都可以進(jìn)行物理提?���。ɡ缡褂肊lcomsoft iOS Forensic Toolkit)。然而,64位的蘋果設(shè)備(包括iPad mini Retina��,iPhone 5S以及所有更新的型號)成功地抵抗住了物理提取��,全盤加密使得chip-off依然無效�����,而且蘋果設(shè)備上從來就沒有JTAG接口��。未分配空間的數(shù)據(jù)依然不可恢復(fù)���,因為iOS系統(tǒng)并不保存未分配區(qū)域的解密密鑰�。 
一個讀者提醒我們存在一種稱之為“高級邏輯提取”的提取方法���。除了物理獲取���,這是唯一能夠提取到郵件的方法。據(jù)我們了解的情況���,蘋果公司在iOS 8.3就對此方法進(jìn)行了封堵,所以只有比較老的設(shè)備可以嘗試此辦法�����。由于蘋果公司并不公布詳細(xì)的iOS版本分布情況,我們不知道能夠嘗試?yán)么寺┒吹膇OS設(shè)備到底占多大比例���。
蘋果不斷加強(qiáng)iCloud的安全性��,調(diào)整二元認(rèn)證令牌生命周期�����,二元認(rèn)證令牌可以讓專家繞過雙因素認(rèn)證�。
2 iOS 9取證
最新版的iOS是手機(jī)取證中的熱點話題��。截止2015年10月19日����,已經(jīng)有61%的iOS設(shè)備運行著最新版的iOS系統(tǒng),iOS 9是取證人主要關(guān)心的地方�。 
運行iOS 9的設(shè)備占61%并在不斷增長中
iOS號稱是不可攻破的安全系統(tǒng),新一代的蘋果iOS系統(tǒng)集成了多項安全技術(shù)研究成果��。但這并不能阻止盤古團(tuán)隊發(fā)布可行的越獄方法(http://www./pangu-9-download.html)��。讓我們來總結(jié)一下對iOS 9設(shè)備可用的提取方法���。
2.1 物理提取
對于運行iOS9 的設(shè)備���,物理提取仍然僅限于理論的可能性��。64位的設(shè)備(iPhone5及更新的型號��、iPad mini 2及更新的型號)就不用說了�����,即使是32位的系統(tǒng)��,運行iOS 9后仍然可以抵抗現(xiàn)存的物理提取方法——即使設(shè)備未鎖定并且已越獄����。因此��,對于任何運行iOS 9系統(tǒng)的設(shè)備����,無倫是否越獄,目前沒有任何取證工具可以做物理提取�。
現(xiàn)狀:目前對于所有的iOS 9設(shè)備,物理獲取都是不可行的���,這種情況在未來也許會改變��,因為32位設(shè)備在理論上依然存在可能性���。
2.2 高級邏輯提取
答案是否定的。高級邏輯提取方式在iOS9 設(shè)備上不適用�,而且很不幸,在以后的工作中這種方法可能也不會奏效����。
2.3 邏輯提取
普通的邏輯提取依然是可行的。蘋果改變了iTunes備份的格式和加密方法����,所以你得更新所有的取證工具以保證對iOS 9的支持。
我們的旗艦產(chǎn)品 Belkasoft Evidence Center 支持iOS 9設(shè)備iTunes備份的分析���,可以發(fā)現(xiàn)����、分析數(shù)十款iOS應(yīng)用�����,包括常見的、部分最新APP����,例如Skype, Viber, WhatsApp, Kik, WeChat, Whisper, FireChat, MeetMe, Tinder, ooVoo, MeowChat,以及其他更多應(yīng)用: 
2.4 隔空取證
iOS 9的云提取方式相比以前更棘手�����。蘋果公司在iOS 9中對云備份做了很多改變���,使用了新的數(shù)據(jù)格式���、新的加密方式。然而最大的變化是云備份的位置���,之前保存在Apple iCloud���,如今iOS9的備份保存到了iCloud Drive,內(nèi)部機(jī)制變化很大�����。
這個時候大多數(shù)取證軟件廠商還沒有調(diào)整他們的產(chǎn)品以支持從iCloud Drive中獲取iOS 9 的數(shù)據(jù)�。近期發(fā)布的 Elcomsoft Phone Breaker V5是支持最新iOS 9云取證的工具之一�����。值得注意的是�,二元身份驗證令牌繼續(xù)以其一貫的方式工作�,如果你碰巧遇到一個未過期的令牌���,將可以繞過雙因素身份驗證���。
3 安卓取證
這方面進(jìn)展不多。Check Point在一個報告中介紹了一個后門���,此后門可被專家利用并獲取一些遠(yuǎn)程安卓設(shè)備數(shù)據(jù)�。我們的一個讀者指出����,很多型號的安卓設(shè)備中存在Bootloader級別的漏洞,并被Cellebrite應(yīng)用在他們的提取工具中�,使得在不Root的情況下Dump出安卓設(shè)備的數(shù)據(jù)。 
3.1 認(rèn)證門
在拉斯維加斯的黑帽大會上����,Check Point Software公布了一個重要的安卓漏洞�,這個漏洞被稱為“認(rèn)證門”�����,存在于包括LG�����、三星���、HTC����、中興在內(nèi)的數(shù)以百萬的設(shè)備中��,利用此漏洞可以遠(yuǎn)程控制設(shè)備��。這一漏洞存在于廠商預(yù)裝的遠(yuǎn)程支持工具中����,這些工具通常被用來幫助用戶遠(yuǎn)程解決問題。這些工具包括TeamViewer����,MobileSupport(由Rsupport公司提供)和CommuniTake Remote Care�����。顯然���,這些工具中存在的這一漏洞可以讓攻擊者利用他們的安全證書來控制此設(shè)備。
目前用戶沒有辦法撤銷或銷毀對應(yīng)證書���,目前唯一的解決辦法是等待補(bǔ)丁或者卸載受影響的工具。即使這樣��,任然會留下一個脆弱的證書�。Check Point宣稱數(shù)百萬設(shè)備受此漏洞影響。
目前我們還不清楚利用此漏洞來獲得對安卓設(shè)備的訪問的可能性以及是否已經(jīng)有取證工具應(yīng)用到了實踐中�。
3.2 Stagefright及Stagefright 2.0
這個著名的漏洞有一些潛能,但是目前這一漏洞能的取證用途——獲取手機(jī)data區(qū)數(shù)據(jù)是否可行還值得商榷���。目前��,還沒有利用此漏洞的取證解決方案���。
3.3 Bootloader漏洞
大多數(shù)知名廠商(包括三星、LG、SONY����、HTC、ASUS以及許多其他品牌)永久鎖定Bootloader以防止設(shè)備被未簽名的代碼引導(dǎo)啟動���。物理提取對Bootloader鎖定的設(shè)備存在限制��,尤其是Android的最新版本設(shè)備����。在很多設(shè)備上��,Bootloader解鎖是Root甚至臨時root的先決條件��。
我們的一個讀者指出����,很多設(shè)備上存在Bootloader級別的漏洞,并被Cellebrite的提取工具成功利用���。Cellebrite UFED在一些Bootloader鎖定的設(shè)備上成功讓未經(jīng)簽名的啟動鏡像修改包引導(dǎo)啟動設(shè)備�,并從而獲取設(shè)備鏡像��。
這一漏洞存在于許多使用高通解決方案平臺及使用高通解決方案軟件的設(shè)備。因此��,如果沒有合適的安全認(rèn)證�,受影響設(shè)備可以被修改過的image文件引導(dǎo)啟動。
Cellebrite利用此漏洞����,使用他們自己的修改過的image文件可以成功啟動引導(dǎo)很多受影響的型號的設(shè)備。這是一件不容易的事情�,因為必須對每個型號的設(shè)備適配單獨的內(nèi)核。據(jù)報道��,數(shù)百種型號的設(shè)備受此漏洞影響��。
對于某一特定設(shè)備�����,如果Bootloader攻擊方法適用��,那么將是最具司法有效性的獲取方法����,因為從外部image引導(dǎo)啟動不會寫入任何數(shù)據(jù)也不會修改系統(tǒng)分區(qū)的任何數(shù)據(jù)���,這種方法可以多次提取鏡像出設(shè)備未經(jīng)修改數(shù)據(jù)����,并經(jīng)得起哈希校驗。其他的方法需要獲得權(quán)限并安裝提取客戶端�,這不可避免地改變了設(shè)備中的數(shù)據(jù)。
Bootloader漏洞的利用方式對每個設(shè)備都不盡相同�,Cellebrite宣稱支持選用了高通芯片組的大部分摩托羅拉,部分三星���、LG的GSM和CDMA安卓設(shè)備��。這種方法請謹(jǐn)慎使用���,因為部分設(shè)備從第三方image引導(dǎo)啟動時會擦除數(shù)據(jù)分區(qū)數(shù)據(jù)。
3.4 第三方Recovery
曾經(jīng)有人問我們諸如TERP��、CWM之類的第三方Recovery是否可以用來引導(dǎo)啟動手機(jī)并獲取data分區(qū)數(shù)據(jù)�����。雖然這在技術(shù)上是可行的����,特別是在Bootloader已解鎖或者存在已知的Bootloader漏洞的設(shè)備���,但從未簽名的Recovery引導(dǎo)啟動可能會觸發(fā)手機(jī)的保護(hù)模式,在沒有任何警告的情況下自動清空data分區(qū)的數(shù)據(jù)����。從這一角度來說,我們不推薦大家使用第三方Recovery啟動引導(dǎo)來獲取數(shù)據(jù)��。
4 Windows Phone 8取證
隨著Windows10 Mobile即將發(fā)布并且考慮到其所占的份額比較小�,Windows Phone 8取證正逐漸變成真空區(qū)區(qū)。然而�����,Windows手機(jī)的提取也還是有一些進(jìn)展的��。
4.1 Windows Phone 8/8.1加密破解
當(dāng)我們提到Windows手機(jī)提取的時候��,我們必須要講一下JTAG和chip-off方式����。(更多內(nèi)容詳見http:///jtag-analysis)由于大多數(shù)Windows Phone平臺手機(jī)都是消費級產(chǎn)品���,數(shù)據(jù)并沒有加密����,JTAG方式可以使用。但一個客戶曾我們尋求幫助���,聲稱他手頭有一部加密過的Windows Phone設(shè)備��。
Windows Phone 8/8.1并沒有選項可以讓用戶選擇是否加密他的智能手機(jī)�,相反��,是否加密可以由企業(yè)MDM(Microsoft Mobile Device Manager)管理員使用組策略控制�。如果加密設(shè)置被觸發(fā),那么設(shè)備會自動使用Bitlocker加密整個用戶分區(qū)的數(shù)據(jù)���。結(jié)果就是JTAG和chip-off方法只能得到一個不可解密的鏡像��。
那么Bitlocker托管密鑰呢��?按照微軟公司的說法�����,Windows Phone系統(tǒng)的設(shè)備并不能像桌面版Windows系統(tǒng)一樣將托管密鑰保存到設(shè)備以外����。由于用戶個人不能手動激活Windows Phone 8的加密,之前從https://onedrive./recoverykey抓獲取托管密鑰的方法對Windows Phone不再有效�����。
那么����,如果一定要提取使用Bitlocker加密過的lumia手機(jī)數(shù)據(jù)該怎么辦呢?你可以尋求技術(shù)手段��,例如http://www./bitlocker- cyan- update- problems- windows- phones��。但托管密鑰本身是不會創(chuàng)建����、存儲或上傳到審核地方的。
4.2 Windows Phone Bootloader漏洞
正如一個讀者所提醒的���,對部分Windows Phone設(shè)備�����,還有一種可行的提取方式。一些流行的Windows Phone8設(shè)備��,例如Lumia 520,可以利用Bootloader漏洞進(jìn)行進(jìn)行物理提取��。Cellebrite UFED就可以在部分Windows Phone設(shè)備上進(jìn)行物理提取���。通過這種方式獲取的未加密的鏡像包含了手機(jī)存儲的所有原始內(nèi)容����。被支持的Windows Phone 8設(shè)備可以使用Cellebrite UFED通過數(shù)據(jù)線獲取�。
Belkasoft Evidence Center完美支持UFED制作的Windows Phone設(shè)備鏡像,可以解析下列內(nèi)容:通話記錄�����、短信�、聊天應(yīng)用、電子郵箱���、支付應(yīng)用等等���。
5 Windows 8/8.1/10及Bitlocker
有人詢問我們從企業(yè)MBAM(Microsoft BitLocker Administration and Monitoring)恢復(fù)托管密鑰的方法。如果某個Windows電腦使用著企業(yè)賬號��,第一件需要確認(rèn)的事情就是檢查MBAM是否有不使用托管密鑰的策略����。(https://technet.microsoft.com/en-us/library/dn145038.aspx)如果需要獲取Bitlocker托管密鑰�����,專家們可以參考微軟文檔中的步驟:https://technet.microsoft.com/en-us/library/dn656917.aspx����。
6 BlackBerry 10取證
在我們之前的文章中��,我們寫到BlackBerry唯一存在的理由在于其卓越的安全性����,全盤加密、不可繞過的PIN鎖����、安全鎖定思維Bootloader,所有這些特性使得BlackBerry堅不可摧���,讓JTAG和chip-off方法無計可施�����。
文章發(fā)布不久�,我們就收到了手機(jī)取證專家們反饋,稱他們已經(jīng)成功地通過JTAG方式提取到了運行BlackBerry 10系統(tǒng)的新一代BlackBerry設(shè)備����,包括Q10和Z10�����。顯然���,這些設(shè)備并沒有加密�。
所以我們現(xiàn)在更正一下����。BlackBerry10系統(tǒng)默認(rèn)并沒有激活加密,用戶(或BES管理員)需要手動激活每個設(shè)備的加密功能�。如果沒有啟用加密,用戶的數(shù)據(jù)區(qū)將不被加密���。我們只接觸過企業(yè)使用的BlackBerry手機(jī)�����,沒有遇到扣押的私人BlackBerry手機(jī)����。根據(jù)我們的經(jīng)驗,BlackBerry10設(shè)備很少賣給個人用戶�����,而且我們從來沒有親自遇到未加密的BlackBerry10設(shè)備����。
7 結(jié)論
正如我們看到的,手機(jī)取證發(fā)展實在迅猛�����。最新版的iOS一度不可越獄�����,但在我們完成上篇報告不久就被越獄了����。Windows Phone本可以像桌面版Windows一樣使用Bitlocker加密卻沒有任何地方可以進(jìn)行相關(guān)設(shè)置。誰有能想到BlackBerry 10竟然默認(rèn)沒有啟用加密����!而新發(fā)現(xiàn)的漏洞使得數(shù)以百萬的安卓設(shè)備存在被遠(yuǎn)程攻擊的威脅����。取證廠商探索著新的可能的提取方法����,即使這僅僅對有限的設(shè)備有效�。這個世界發(fā)展得實在太快!
本文由取證中國論壇翻譯,轉(zhuǎn)載請注明來自取證中國論壇并附上本文地址http://www./thread-399-1-1.html���。取證中國論壇專注電子取證與司法鑒定��,歡迎廣大電子取證從業(yè)者�、愛好者的加入�����。
|
