本文透過越獄後的iPhone手機,安裝網路上即可取得的免費軟體,模擬遠端的入侵途徑與擷取資料手段,分析惡意人士入侵iPhone(越獄後)的可能過程,並說明面對此種攻擊時該如防範iOS裝置受到入侵的威脅。
透過兩個方法可以更改OpenSSH預設密碼,第一種是在iPhone上透過Cydia平台下載MobileTerminal應用程式(圖7),它允許使用者可直接在手機螢幕上操作遠端連線設定,在iPhone介面上直接點選名為Terminal的應用程式進入執行操作步驟,如圖8所示,依據下列步驟即可變更OpenSSH密碼:
|
▲圖7 下載MobileTerminal。 |
|
▲圖8 執行Terminal變更密碼。 |
1. 在Termianl介面輸入「su root」指令,隨後介面便會
出現「Password」字樣,要求使用者輸入密碼,而在未更改過密碼之情況下,密碼預設值均為「alpine」。
2. 登入成功後,介面便會顯示「/var/mobile root#」字
樣,隨後輸入「passwd root」指令來要求變更密碼。等介面出現「New password:」後,即可自行設定新密碼。「Retype new password:」中再重複確認輸入一次新密碼,待介面再次出現「/var/mobile root#」時,即表示密碼變更成功。
第二種方式則是透過電腦遠端連線來變更iPhone的OpenSSH密碼,首先須於電腦上執行PuTTY遠端連線程式,在Host name(or IP address)欄位內輸入iPhone的IP位址,而自身IP位址可透過點選手機螢幕上的「設定→Wi-Fi」選項,來查看iPhone所連結Wi-Fi配置的IP位址。
開啟PuTTY遠端連線程式後,畫面便會出現「login as:」字樣,如圖9所示,依據下列步驟變更OpenSSH密碼:
|
▲圖9 透過PuTTY變更密碼。 |
1. 使用者輸入「root」命令之後,接著就會出現
「root@192.168.0.100's password:」要求使用者輸入
密碼,而在未更改過密碼的情況下,密碼預設值均為「alpine」。
2. 登入成功後,介面會顯示~ root#字樣,隨後輸入
「passwd root」指令來要求變更密碼,使用者於介
面出現「New password:」後就可以自行設定新密碼,而「Retype new password:」再重複輸入一次新密碼。待介面再次出現「~ root#」時,就代表密碼變更成功。
情境模擬演練
接獲線報,通知遭通緝的A君藏匿於某家咖啡廳頂樓加蓋的鐵皮屋內。掌握此重要線索後,相關調查單位隨即著手安排規劃緝捕A君,並於翌日早晨執行攻堅行動,該時間A君處於毫無防備的熟睡狀態,破門進入屋內後,A君不及脫逃便已遭逮。
調查人員從屋內搜出一柄短槍與少量毒品,A君為保持逃亡期間便於隨時更換藏匿地點,僅攜帶輕便衣物、睡袋、數萬元現金以及一只iPhone手機。
A君在逃期間,更換藏匿地點不只迅速且隱密,似乎有人幫忙在安排其逃亡路線與生活起居。但A君遭逮後一直保持沉默,不發一語,造成追查其犯案時之共犯案情發展困難,唯一可用線索僅剩A君所使用的手機。
可是A君始終不肯透漏iPhone手機的螢幕解鎖密碼,故調查人員只得將iPhone手機交與鑑識人員,看能否取得手機中的資料,協助案情發展。
鑑識人員按下A君手機螢幕開啟鍵後發現,螢幕介面上無顯示3G或4G訊號,而該iPhone介面似乎與一般iPhone手機介面之配置有所不同,時間、日期的顯示位置經過調整,故推斷A君所使用的iPhone手機係可能為已越獄狀態。該iPhone手機為重要證物,不可冒險將其以實體萃取方式進行資料擷取、存取數位證據,因而影響到其證據能力。
根據調查人員表示,A君係於某咖啡廳頂樓加蓋鐵皮屋內遭逮,而現在多數的餐廳、咖啡廳均有附設Wi-Fi無線網路,供顧客免費上網,Wi-Fi連線密碼的告知提示,不是在菜單上,就是黏貼於桌面或餐巾盒上,以便於顧客利用。
據此,推測A君藏匿於頂樓,使用咖啡廳所提供Wi-Fi連線上網的機率極高,為萃取數位跡證,鑑識人員試圖透過遠端連線方式,進入A君的iPhone手機內,檢視其保存的資料。
隨後,鑑識人員依照規定流程將A君iPhone手機證物帶往該家咖啡廳,果不其然,該部iPhone手機一進入咖啡廳Wi-Fi訊號範圍便自動連線上網。
這是好的開始,接下來,鑑識人員便透過下列步驟,嘗試讓A君iPhone手機在與Wi-Fi保持連線的狀態下進行資料擷取。
透過NMap嘗試找尋iPhone的IP位址
首先將執行搜尋的電腦連接上咖啡廳之Wi-Fi,並由命令提示字元介面中輸入「ipconfig」指令,得知該Wi-Fi所給予電腦的虛擬IP位址為192.168.1.9,如圖10所示,假定該Wi-Fi可能給予之虛擬IP位址範圍為192.168.1.1?192.168.1.254。
|
▲圖10 執行搜尋之電腦所配置到的虛擬IP位址。 |