本文以iPhone探討使用者對社群網站應用程式的操作,及萃取出可能的存留數位證據,並透過案例說明在iPhone上Facebook的可能非法活動,這些活動的存留證據可利用手機鑑識技術進行資料回復,以協助釐清真相,還原現場。
鑑識人員以iTools打開Facebook應用程式後,在「/Facebook」資料夾中找到以介面化所呈現的應用程式分類資料夾,並在其中發現「Facebook/Library/Caches/」資料夾裡儲存了許多備份檔中所沒有的資料。
在該資料夾中找到一個名叫「fbsyncstore」的sqlite檔案,在使用SQLiteDatabase Browser打開後發現,其中存放了使用者小美登入帳號的所有好友及其部分註冊帳號的紀錄,如圖6?7所示。
|
▲圖6 顯示好友姓名。 |
|
▲圖7 顯示好友註冊帳號。 |
接著,鑑識人員打開一個名叫Orca2的sqlite檔,發現裡面存有使用者小美登入的姓名、手機號碼以及電子信箱,如圖8所示。
|
▲圖8 找到使用者的姓名、手機號碼以及電子信箱。 |
再來打開其子資料夾「FBStore」,從裡面發現一個名叫「Store」的sqlite檔(圖9)。由於該檔案無法直接由SQLiteDatabase Browser打開,必須透過Firefox瀏覽器中一個名為SQLite Manager的附加套件才能執行。
|
▲圖9 儲存Store檔案所在資料夾。 |
開啟之後,發現裡面儲存十分多的資料,包括使用者小美所加入過的社團、好友分類、所點選過的應用程式以及連結等等,如圖10?11所示。
|
▲圖10 顯示使用者加入過的社團、所點選過的應用程式及連結。 |
|
▲圖11 使用者的好友分類。 |
除此之外,在「Facebook/Library/Caches/ ImageCache」資料夾內發現有儲存部分好友的大頭貼,而從「Facebook/Library/Caches/FBStore/FBDiskCache」資料夾中也找到了許多與使用者小美有關的圖片檔(圖12)。
|
▲圖12 部分使用者好友的大頭貼圖片檔。 |
透過上述鑑識人員的操作,經實際比對確認,可以發現在小美的手機中找到的資料與儲存於阿陳電腦中Facebook名單有所重疊(圖13),證明阿陳曾經透過該手機取得相關使用者的個人資料,並與小美進行互動。
也就是說,阿陳是進行詐騙行為的非法者,利用小美對小明的信任與朋友關係,在Facebook建立一個帳號,利用小明在網路上分享的資料與照片,盜用小明的身分,在Facebook上與小美成為朋友關係。
接著,阿陳透過小美所公布的Facebook塗鴉牆、個人訊息、照片內容等相關資料,了解其生活與動態以及小美與小明之間的關係,透過時常攀談建立熟悉感與信任程度之後,藉此進行詐騙取財等等的非法行為。
|
▲圖13 儲存於非法者阿陳電腦中資料夾內的圖片。 |
結語
科技的進步,讓手機等可攜式裝置可以安裝許多有用的應用程式,社群網站為資訊產業帶來新的契機與商機,卻也隨之帶來了許多新的資安事件。
本文透過iPhone手機操作社群軟體,進行手機的鑑識流程,協助鑑識人員在遭遇手機遺失導致資料外流以及社群網站詐騙相關鑑識案件時的因應之道,並透過案例說明了對於非法者盜取了相關的應用程式資訊,其相關的數位證據還是會留存在手機中。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>