個人意識抬頭,使得隱私權保護的議題在這幾年變得更加重要,電腦無痕瀏覽的使用,說明了用戶的需求與時代的潮流,而日常生活不可或缺之手機無痕瀏覽的出現,雖可保護用戶的隱私,但非法者也能透過手機無痕瀏覽來掩蓋非法行為證據。本文將透過實驗數據說明,證據取證依舊能從相關跡證清楚指出非法者曾經使用過無痕瀏覽進行非法的活動。
智慧型手機瀏覽器
智慧型手機瀏覽器是用於行動裝置上的網頁瀏覽器,必須適應手機的低記憶體與低頻寬,使用微型瀏覽器技術如WAP、NTTDocom和Openwave等等,因此在手持裝置的小型螢幕顯示網頁內容做了最佳化。
但今日許多智慧型手機所採用的瀏覽器支援最新的AJAX及RSS,或是部落格及社交網路等Web 2.0功能,大幅提振了手機瀏覽器的功能與實用性。
目前網路上個人隱私的問題受到廣大使用者的注目,許多瀏覽器開發公司推出「無痕瀏覽器」,標榜不會留下使用者的Cookie、快取等等使用紀錄。
而行動上網相較於一般電腦上網使用無線上網更具隱私風險,所以此概念亦應用到手機瀏覽器上,目前常用的手機瀏覽器以及專門提供無痕瀏覽的瀏覽器如表1?2所示。
表1 手機瀏覽器
表2 手機無痕瀏覽器
無痕瀏覽鑑識
手機無痕瀏覽是一項新興的議題,其鑑識方法除了從傳統的手機鑑識方法找尋外,也必須依靠電腦上無痕瀏覽的數位證據找尋方法作為基礎,才能使得手機上的無痕瀏覽鑑識流程更加完整。由此可見,可以從電腦的無痕瀏覽鑑識來推論手機的無痕瀏覽鑑識。
電腦瀏覽器可以分為可攜式網路瀏覽器及無痕瀏覽,其所能找到的證據也大不相同,以Google Chrome為例,結果如表3所示。
表3 Google Chrome可攜式網路瀏覽器、無痕瀏覽鑑識結果
據Google Chrome可攜式網路瀏覽器、無痕瀏覽之鑑識結果指出,可攜式Google Chrome瀏覽器的硬碟映像檔能夠比無痕瀏覽找到更多的跡證,但是兩者還是都包含使用者使用網路的紀錄,即使是無痕瀏覽也無可避免。
被找到存有關鍵字的檔案都被存在映像檔的相同的目錄下。在大多數情況下,包含關鍵字跡證的檔案被存在更底層的子目錄內。
若從隱私權的觀點來看,最有趣的是「Loca\Temp」這個目錄的用途,這指出可攜式Google Chrome瀏覽器不只將資料存在USB隨身碟的暫時性目錄,更將其資料寫在硬碟的暫時性目錄。
Google Chrome瀏覽器的無痕瀏覽模式僅會留下很微小的跡證,所以期望可攜式Google Chrome瀏覽器的無痕瀏覽模式也能達到相同的作用。所有在映像檔的pagefile.sys虛擬記憶體檔案內,發現用無痕瀏覽模式瀏覽網頁的證據位置,如表4所示。
為了其完整性,必須提到有些關鍵字是在無痕瀏覽模式硬碟映像檔中的未分配磁區找到的,但經過進一步的測試後才發現,原來這些關鍵字是由無關的字典所產生的,所以應該要剔除。
表4 硬碟以及隨身碟跡證儲存位置
接下來,利用手機瀏覽器進行瀏覽器的鑑識,特別選用Orweb v2無痕手機瀏覽器來進行實驗,方式如下。
環境設置
將手機瀏覽器安裝在尚未取得最高權限的智慧型手機,接下來進行瀏覽網頁、登入帳號等動作,如表5所示。
首先,在Samsung Galaxy Gio S5660、Android版本為2.2的手機上,安裝Orweb v2無痕手機瀏覽器,開始進行網頁瀏覽與登入Facebook帳號。
表5 在Orweb瀏覽器中進行的動作
設置好環境 進行鑑識程序
設置好環境之後,接著馬上進行鑑識程序,包括萃取、檢驗與分析,以及報告呈現等三步驟。
萃取
首先,對尚未取得最高權限的智慧型手機進行跡證的萃取。利用免費應用程式Root Browser做Live Forensics,未能存取「/data」內的檔案。此外,可以利用同樣是免費的應用程式Titanium Backup來執行手機備份,但因為未取得最高權限而被拒絕使用。
接著,取得智慧型手機的最高權限。取得手機的最高權限有很多種方法,而在網路上也有許多圖文教學,以下的介紹便利用網路上眾多方法之一來取得手機的最高權限,步驟如下所示。
先下載附件Update.zip(Update.zip是Google Android的服務升級包)。然後,複製Update.zip到手機SD卡的根目錄下,再手機關機。隨後,手機按住HOME+電源鍵直到進入Recovery模式。
接下來,用左邊音源鍵上下選擇「apply update from sdcard」後按下Home鍵。緊接著,選擇Update.zip,按下Home鍵,等待更新完成。當出現「reboot system now」時按下Home鍵。至此,Root成功。