數位鑑識 資訊安全 資安 鑑識

無痕瀏覽並非真無痕 手機匿蹤上網蒐證攻防

個人意識抬頭,使得隱私權保護的議題在這幾年變得更加重要,電腦無痕瀏覽的使用,說明了用戶的需求與時代的潮流,而日常生活不可或缺之手機無痕瀏覽的出現,雖可保護用戶的隱私,但非法者也能透過手機無痕瀏覽來掩蓋非法行為證據。本文將透過實驗數據說明,證據取證依舊能從相關跡證清楚指出非法者曾經使用過無痕瀏覽進行非法的活動。
最後,對取得最高權限的智慧型手機進行跡證的萃取。在取得最高權限後,再利用Root Browser瀏覽手機內的檔案,就可以看到Orweb v2瀏覽器應用程式的檔案。

以Titanium Backup做手機備份進行Logical Forensics,並利用安裝在電腦上的SQLite Database Browser開啟檔案,可以找出許多有用的資料。

檢驗與分析
先用USB線連接手機與電腦,再開啟手機SD卡中的Titanium Backup資料夾,找到「info.guardianproject.browser-20140509-164453.tar.gz」並將它解壓縮兩次,再利用事先安裝在電腦上的SQLite Database Browser開啟解壓縮後的「info.guardianproject.browser-20140509-164453」資料夾中的db檔,可得到相關內容,整理後如表6所示。

表6 對取得最高權限的智慧型手機進行跡證的萃取結果

報告呈現
「無痕瀏覽器」標榜可以清除使用者的使用紀錄,包括Cookie、快取、帳號、密碼等,但利用上述方法卻可以得到使用者的使用資訊,如瀏覽網頁的URL、登入Facebook的E-mail帳號、加密過的訊息內容等以及登入時間,可見無痕瀏覽器並不能全面保護使用者的隱私。

情境模擬

調查人員正在偵辦一件網路拍賣詐騙的案件,鎖定嫌疑重大的A君,A君為了使用上的方便,都是利用隨身攜帶的手機來進行詐騙。

v 根據報案人指出,A君係利用Facebook將受害者加入好友,並傳遞詐騙訊息,待受害者匯款給A君後便無聲無息,受害者才得知受騙。

鑑識人員發現嫌犯係利用手機的無痕瀏覽器Orweb v2來進行網頁瀏覽並詐騙消費者,因此利用以下步驟來萃取瀏覽紀錄。

萃取

在嫌犯手機中安裝Root Browser與Titanium Backup,因為尚未取得手機的最高權限,所以無法使用Live Forensics瀏覽檔案資料夾與Logical Forensics進行備份,如圖3?4所示。


▲圖3 無法瀏覽資料夾。


▲圖4 未取得最高權限的備份。

接著,鑑識人員先將手機以上述實驗方式取得最高權限,如圖5所示。


▲圖5 取得最高權限後可以瀏覽檔案資料夾。

檢驗與分析

緊接著,利用Titanium Backup進行手機備份,如圖6所示。


▲圖6 取得最高權限後就可以備份。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!