在iPhone帶給我們生活諸多便利的同時,行動裝置中亦存有許多相關個人資料。所以針對iOS裝置進行數位鑑識,並從中取得可以佐證或追蹤犯罪的相關資訊,已成為不得不注重的課題。
萃取裝置定位服務資訊
由於智慧型手機已經與人們形影不離,而這些裝置都有定位服務,故可以透過此特性來進行犯罪者行蹤調查。欲對Apple行動裝置做此類的調查,必須先了解iOS的基本架構與定位服務。
最新的iOS裝置所具備的定位服務可以允許有定位基礎需求(Location-based)的應用程式與網站(包括地圖、相機、網路瀏覽器與其他第三方應用程式)來使用Cellular行動網路(為裝置支援4G LTE、3G、HSPA、HSPA+和DC-HSDPA行動網路之統稱)、Wi-Fi、全球定位系統(GPS)網路和藍牙所取得的大略位置。
舉例來說,應用程式透過定位服務來取得使用者所在位置與當地資料,即可提供搜尋附近電影院或便利商店的服務;該裝置亦可根據使用者位置來調整成所在地時間並取得所在地的天氣資料。只要掌握行動裝置中的定位服務資訊,即可透過此服務來取得犯罪者的行蹤。
時下許多人都會拍照,並於臉書上打卡,分享生活中的點點滴滴。然而,當開啟手機中的定位服務並拍照時,相片中的相關資訊也會記錄著當下拍照的所在地(Location)資料。此時若運用iTunes對手機進行備份,並運用鑑識軟體將備份檔中Location資料,匯出成KML檔,並將KML檔導入至Google地圖內,將可在地圖中快速地顯現出手機的主人曾於何地出沒或經常於何地出入。
透過以下的相關萃取步驟,就可以把備份檔內的資料具體化成為Google地圖上的位置資訊。
首先,透過iTunes對手機進行備份,如圖3~4所示。
|
▲圖3 運用iTunes對欲備份的iPhone進行備份。 |
|
▲圖4 確認已備份手機的時間。 |
透過Apple iTunes所執行的備份,其備份檔案會因作業系統不同而儲存在電腦內不同的路徑中,彙整如表1。在Windows作業系統下,部分資料夾可能預先設定為隱藏,必須先在資料夾選項中先將其設定為顯示,才看得到相關資料。
表1 iTunes備份檔案儲存路徑
接著開啟iPhone Backup Extractor軟體,即可如圖5所示,在左上角看到備份的裝置名稱與備份時間,確認與自己備份之裝置的詳細資訊是否皆相同。
|
▲圖5 iPhone Backup Extractor程式畫面左上角會顯示備份的裝置名稱與備份時間。 |
緊接著,如圖6所示點擊【File】選單中的【Convert location data DB to KML】選項,即可將備份檔中有關於位置的相關資訊轉成KML檔,並輸出到桌面上。
|
▲圖6 將備份檔中Location Data轉成KML檔。 |
隨即開啟Google地圖,並點開左上角的選單,從下列項目中選取「我的地圖」,並按下「建立地圖」,將可見到如圖7所示的畫面,便可將桌面上的KML檔匯入至Google地圖中,顯示出如圖8的畫面。
|
▲圖7 將Location的KML檔匯入至Google地圖中。 |
|
▲圖8 透過Google地圖將Location Data轉成清晰可見之位置。 |
此種萃取方法,可以將需鑑識之裝置的內部照片一次性地投射到地圖上,並且會依照時間順序進行排列。針對裝置內有許多照片者,特別適用此種鑑識方法。
然而,除了此種方法外,亦可以利用圖9的相片簡介,一一手動地將相片的經緯度資料移轉至地圖上,但此種方法在面對數量龐大照片的裝置時,將耗費許多時間與人力,並且必須手動地排出時間序,一旦過程出錯,將使重建過程更加複雜。
|
▲圖9 開啟相片簡介。 |