手機的功能日益強大,利用雲端技術可將手機或其他設備的檔案進行分享,但是在雲端硬碟提供的便利下,也隱藏著許多的威脅,本文即是針對雲端硬碟進行檔案分析,將可能的資訊顯露出來,協助調查人員進行非法活動調查與證據追蹤。
由於近年來行動網路的興起與智慧型手機的快速發展,越來越多上班族使用智慧型手機的雲端硬碟App當作工作時傳遞資料的工具,或是許多的學生也利用手機來作為學習的利器,雲端硬碟也因此漸漸被人所熱烈採用,除了能夠減少本地儲存空間的負擔外,還可以透過智慧型手機或平板來修改或查看檔案,隨時隨地存取在雲端空間儲存的檔案。
市面上有許多強大的雲端硬碟App可以使用,例如Google Drive、Microsoft OneDrive、MEGA等等,除了儲存各類檔案的功能外,還能與其他使用者共享資料夾或檔案,甚至自動將智慧型手機內的相片上傳至雲端硬碟備份。
這些雲端硬碟裡儲存的檔案都是與使用者息息相關的個人隱私,因此雲端硬碟的防護能力也是使用者所在意的。同時,因為雲端硬碟的方便性,非法活動者可將其非法活動的證據儲存於雲端硬碟中,使其成為非法活動的溫床,而智慧型手機或電腦裡因為沒有檔案,將會使非法活動證據的調查更加困難。
因此,本文章的重點在於探討雲端硬碟應用在使用者安裝到Android手機後所產生的關鍵資料,以及服務提供者是否確實保護資料安全性,即使裝置遺失也可免除資料外洩的困擾。
相關知識介紹
在開始講解數位鑑識之前,先說明與其相關的雲端硬碟App以及將會使用到的數位鑑識工具。
雲端硬碟App
由於市面上有許多雲端硬碟App,本實驗將針對目前常見的三種雲端硬碟App進行介紹:
‧Google Drive:Google是一家提供包含網際網路廣告、網際網路搜尋、雲端運算等領域的美國公司,而Google Drive就是其中一項服務,它可以安全地儲存使用者的檔案,並且讓使用者隨時使用智慧型手機或一般電腦存取檔案。此外,還可以輕鬆邀請其他使用者檢視或編輯自己的檔案或資料夾。
‧Microsoft OneDrive:微軟的OneDrive是隨時隨地都能存取的線上檔案儲存空間軟體,它可以將Office文件及其他檔案儲存在雲端,以便透過其他裝置存取這些檔案。另外,它還能夠免費透過Office行動應用程式或OneDrive隨處建立Word文件、Excel活頁簿、PowerPoint簡報和OneNote筆記本。
‧MEGA:MEGA的前身為MegaUpload,是美國著名雲端硬碟服務商,但於2012年1月19日遭到FBI強制關閉,創辦人在紐西蘭遭到逮捕。然而,隔年的1月20日,新版的MegaUpload於紐西蘭正式上線,命名為MEGA。以往的雲端硬碟安全政策大都是「我們雖可以存取你的資料,但我們保證保密,且不會濫用」。但MEGA的安全政策則是「我們無法存取你的資料,也無法找到你的資料」。總結來說,MEGA是以簡單的加密概念建構而成的,目前仍是唯一可於瀏覽器中使用高性能點對點加密的雲端空間供應商。
實作使用工具
以下簡單說明Android作業系統,以及本文將會使用的工具Epoch Unix Time Stamp Converter。
Android系統
根據市場調查機構StatCounter旗下研究機構Web Analytics的調查,2017年3月Android在全球的市占率達到37.93%,第一次超越了Windows的37.91%,這項調查涵蓋的項目有桌上型電腦、筆記型電腦、平板與智慧型手機等裝置。在5年前,Android系統的市占率僅僅只有2.4%,但因為全球智慧型手機的連網能力,以及全球PC的銷售下滑,Android的發展突飛猛進,尤其是在亞洲,每個人不一定有一台個人電腦,但必定是人手一台智慧型手機,甚至再加上平板,使得Android在亞洲的市占率達到52.2%,遠遠超過Windows的29.2%。
因為Android為目前最受歡迎的作業系統,所以針對Android的網路犯罪也日益增多。對此,本文將針對三種應用於Android系統的手機雲端硬碟App進行分析,希望藉此找到非法活動相關跡證。
Epoch Unix Time Stamp Converter
Unix時間戳是一個以秒為單位的計算時間方法,而時間的起始是1970年1月1日上午0點,到目前總計有多少秒數,就是Unix時間戳的計算方法,例如2017年11月6日00:00:00 (UTC)的Unix時間戳表示為1509926400。