伴隨著i裝置新品的接力發表,作為其作業系統的iOS翻新步調也更加地頻繁。iOS每次的版本更新,除了使消費者驚奇,也趁機修補自身的漏洞與缺失,加強防駭防毒,但如此一來也讓相關的數位採證鑑識工作難度攀升。
蘋果公司(Apple)自2007推出iPhone的第一個搭載iOS裝置以來,至今已推出有數十種iOS的智慧型裝置,而作業系統也自iOS 1推陳出新至筆者寫作當下的最新版本iOS 7.1。
期間隨著使用者的陸續增加,作業系統iOS也像微軟的電腦作業系統般,頻繁地推出更新以修補系統內的漏洞,但系統韌體的更新也使得鑑識人員在iOS上萃取數位證據的難度隨之增加。
這樣的狀況並不代表系統會比較安全,只能說倘若對應的鑑識技術無法隨著系統的更換而增進,一旦遇到需要萃取的犯罪行為,只會增加蒐集數位證據的困難度,甚至導致無法有足夠的數位證據來佐證犯罪行為,因此了解iOS裝置上可行的萃取技術已成為一種必要的趨勢。
根據市場研究機構Gartner的研究指出,2013年全球平板電腦銷售量較2012年增加68%,而在2013年第四季全球智慧型手機銷售量中iPhone位居第二名。
另外,市場研究機構comScore則指出,美國市場的智慧型手機銷售,iPhone成長至41.3%,持續占領銷售排行榜的第一名,由上述可見,iOS智慧型裝置的受歡迎與其普及之程度,始終有著不可動搖的地位。
隨著科技的不斷進步,智慧型裝置成為人們生活上的必需品,不管身在何處都可以一機在手,舉凡打電話、傳簡訊、使用聊天App、網頁瀏覽、觀看影片都可以藉由智慧型裝置來達成。
但相對地,人手一機的裝置因為其便利性也會成為犯罪者用於通訊的工具。要萃取裝置上的資料,就必須有相對應的技術。以iOS為作業系統的智慧型裝置,要萃取該裝置內容就必須知道其適用的手法。
一般而言,iOS裝置也如同電腦萃取技術,主要可分為備份萃取和實機萃取,但是對於不同版本韌體和主機所萃取出的資料卻不盡相同。
本文將以不同韌體版本和主機所萃取的結果做出呈現,讓大家了解萃取結果不同所帶來的影響。
剖析iOS
大多數使用者對於自己所使用之智慧型裝置的了解,幾乎僅限於一般使用的層面,而對於裝置的系統架構、系統安全設計、系統漏洞均一無所知,因此這裡先行介紹iOS系統的特色和缺失,以及iOS裝置數位鑑識的概念。
iOS作業系統
Apple於2007年6月29日推出iOS的第一個版本,這是針對其出產的智慧型裝置,以Darwin為基礎研發的作業系統,支援的裝置包含iPhone、iPod touch、iPad、Apple TV等,所有裝置彙整於表1。
表1 iOS裝置列表
iOS系統主要分為四層架構,分別為核心作業系統層(The Core OS Layer)、核心服務層(The Core Services Layer)、媒體層(The Media Layer)以及可輕觸層(The Cocoa Touch Layer),而作業系統占記憶體容量1GB。
iOS檔案系統
iOS系統中的檔案格式為HFS+,裝置中的系統分為兩個區塊,分別是系統磁區(System or Root Partition)和使用者磁區(User or Media Partition),而所有裝置的預設狀態下,系統磁區是唯讀(Read-Only)的,只儲存iOS的系統程式檔案;使用者磁區則存放應用程式與使用者資料。
其檔案格式分為兩種,第一種是屬性列表(Property
List)檔案,其內容為使用者對裝置配置的設定;第二種是儲存使用者的個人資料庫的SQLite檔案,其中包含通訊錄、通話紀錄、簡訊、行事曆、應用程式聊天紀錄等等。
另外,自iOS 4之後,HFS+預設增加資料保護(Data Protection)功能來提高iOS的安全性。
iOS系統安全漏洞
iOS作業系統的韌體更新十?分頻繁,更新的目的除了系統功能增強、減少程式執行時間與修改使用者介面等外,最主要的原因之一就是修補安全漏洞。
最常見的四種漏洞類型包含:阻斷服務(Denial of Service,DoS)、緩衝溢位(Overflow)、繞過(Bypass)、跨網站腳本(Cross-site scripting,XSS)。
阻斷服務的主要功能是癱瘓裝置系統,利用網路系統漏洞使其無法正常運作,導致裝置無法正常上網,此攻擊並不以竄改和竊取資料為目的,受影響版本自iOS 1.0至iOS 7.1.1。