本文將分別透過越獄前與越獄後之iOS裝置,進行數位鑑識工具的跡證萃取實測,分析並比較越獄對於數位跡證萃取所造成的影響。
相對於Android系統行動裝置,iOS系統裝置在作業系統的更新速度方面要快上許多,這是因為iOS系統及硬體裝置為Apple公司專屬開發運作,由使用者端所持有的行動裝置如iPhone、iPad、iPod等系列,陳列及下載各式軟體的App Store平台,就連iOS裝置上所能夠使用的App,也都必須經過Apple公司的審核,通過後才允許上架展示,在安全性上做了嚴格的把關。
在環境開放程度上,展現了iOS系統裝置的封閉特性,亦即iOS作業系統的更新發布均由Apple公司獨自決定。
反觀,搭載Android系統的品牌裝置數量不勝枚舉,裝置種類多元,各廠牌裝置對於更新之作業系統容易產生相容性問題,因此對於最新版的作業系統未必能夠立即支援,而由Google公司所發布的Android作業系統更新頻率也較iOS系統低。
作業系統的更新目的,大多數除了加強各方面使用功能外,通常亦會有針對系統安全性強化的項目例如Bug修正、漏洞修補等。以使用者觀點看來,不僅更加豐富使用體驗,在資訊隱私上也多了一層保護。
作業系統在各項安全性的補強方式,不外乎透過系統設定及存取權限的提升、允許操作行為與調整變更條件的限制,以及加密重要資料檔案等。以惡意入侵者觀點看來,原本可行的入侵手段可能已遭封阻,必須另尋突破方式。而在數位跡證萃取方面,系統安全性的加強,意味著取證難度也隨之提升。
而iOS系統相較於Android系統有較為嚴謹的安全機制,更多的存取使用限制,更高頻率的漏洞修補及更新發佈,使得針對iOS系統有效的數位跡證萃取手段難以快速地更新,即使是專門為數位跡證萃取所開發的數位鑑識工具,亦受制於iOS系統的版本進度。
當然,許多iOS系列裝置愛好者所關心的越獄(Jailbreak)程式亦是如此,隨著iOS作業系統版本的更新,僅適用於原有舊版作業系統的越獄程式便遭阻擋,無法在更新版的作業系統上安裝與運行。
經過越獄後的iOS系統裝置,能夠讓使用者獲得裝置最高的控制權限,在開放一定程度的系統安全性之餘,解除一部分的系統限制,在跡證萃取上亦大幅地提升資料獲取的質與量。
綜觀所述,iOS系統的版本以及iOS裝置是否為越獄狀態,在針對iOS跡證萃取上具有關鍵性的影響。本文將透過Elcomsoft iOS Forensic Toolkit對於搭載iOS 9.0.2版本之iPad mini 3,分別進行越獄前後之數位跡證萃取實測。
在進行備份還原檔案後,以Elcomsoft iOS Forensic Toolkit對未越獄之iPad mini 3進行跡證萃取實驗,然後對該部iPad mini 3以PanGu越獄程式進行越獄,並再次以Elcomsoft iOS Forensic Toolkit做跡證萃取實驗,最後討論分析越獄前後iOS系統裝置數位跡證萃取的成果差異。
所需工具程式介紹
本次實作將會使用到Elcomsoft iOS Forensic Toolkit、PanGu Jailbreak for iOS 9.0-9.0.2以及iTools幾個工具程式,以下分別加以說明。
Elcomsoft iOS Forensic Toolkit
這是由ElcomSoft公司所開發、針對iOS裝置進行數位資料萃取等數位鑑識工作的軟體工具,支援Windows和Mac平台的安裝與操作,並同時支援32位元和64位元版本之iOS設備的取證,具備LOAD RAMDISK、GET PASSCODE、GET KEYS、IMAGE DISK等多項功能。
PanGu Jailbreak for iOS 9.0-9.0.2
這是由盤古團隊所開發、針對搭載iOS 9.0、9.0.1以及9.0.2的iPhone、iPad等行動裝置之越獄程式,透過此越獄程式,能讓iOS裝置之使用者獲得裝置最高的控制權限,進行系統設定的變更調整及下載第三方應用軟體等操作。
iTools
iTools為一款雙平台行動設備管理工具,能夠分別管理搭載iOS系統以及Android系統的行動設備,對於運作iOS的行動裝置來說,可說是iTunes的替代及輔助工具。在基本管理方面,對於多媒體檔案、應用程式、資訊查看等功能一應俱全,而相較於iTunes其具備較直覺化的操作介面,當然在主要的功能上更多出了對於越獄狀態下之iOS的管理及功能支援。
Elcomsoft iOS Forensic Toolkit越獄前後鑑識實測
對裝置進行鑑識程序及越獄的時候,可能會變更裝置內存狀態,操作之前建議先執行裝置備份,這樣可使在跡證萃取過程發生毀壞性錯誤,抑或進行具破壞性的實驗時,讓裝置內存資料獲得一定程度的還原。
而在進行越獄程序時,同樣有機率發生不可預期之錯誤,造成越獄執行進度停滯、裝置當機等情況,然而在越獄之後,想要將裝置回復至未越獄狀態,為避免資料與各項設定遺失,即需要使用先前所留下的備份檔案。換個角度思考,事前備份也是裝置資料保存的最後防線。