由於App-LINE的使用者占了所有使用通訊App用戶中極高的比例,因此這裡將透過工具來管理Apple iTunes官方軟體所建立的備份資料,並從中萃取及還原出許多手機相關內部資訊,也針對LINE在備份檔案中做相關的鑑識與分析,以協助鑑識人員了解曾使用手機從事何事並進一步釐清真相。
根據國際數據公司(International Data Corporation,IDC)的統計指出,2011年第一季的智慧型手機出貨量,Apple公司已較去年同期增加10萬支,並占據智慧型手機總出貨量的18.7%,僅次於Nokia。
由於Apple所推出的iPhone手機搭載自行研發的iOS作業系統,一體成型的外觀與平易近人的使用者操作介面更博得使用者喜愛,因而成為智慧型手機的新寵兒。
由於智慧型手機的普及,許多應用軟體廣受大家的使用,像是通訊App-LINE的使用漸漸地也有越來越多的趨勢,甚至有使用者將其拿來取代傳統的電話、簡訊通訊。也正因如此,犯罪者使用通訊軟體進行犯罪的可能性也將大幅提高。
為此,本文提出在管理iPhone手機備份檔案中針對LINE的檔案進行鑑識與分析。透過Apple所提供的iTunes官方軟體將iPhone手機製作備份,並針對其備份資料做一深度的分析與萃取,取得數位證據還原真相,用以輔佐案件鑑識之進行。
相關背景說明
在開始iPhone手機數位鑑識之前,先介紹兩種萃取的方式,然後簡單說明Apple iTunes及iPhone的備份檔案,最後則介紹相關的工具軟體。
iPhone手機數位鑑識
隨著現今iPhone手機的普遍性,不少犯罪亦伴隨而來,但相較於傳統手機鑑識技術,iPhone手機本身具有一些獨特的限制性,例如只能安裝Apple所授權的軟體、本身構造無外接任何記憶體空間以及其與電腦特殊的插孔連結等等。這些限制都讓鑑識人員在操作時有一定的複雜度與難度。
基於上述的情形,對於iPhone手機之數位鑑識的基本萃取方式包括以下兩種:
1. 實體萃取
若鑑識人員要對iPhone手機進行實體萃取,必須在手機內安裝鑑識工具,然後透過鑑識工具將手機內部資訊,以位元複製或製作映像檔的方式萃取出來,再以傳統的數位鑑識方式分析。
然而,由於iPhone手機的獨特性,鑑識人員若要順利安裝鑑識軟體,就必須先執行「越獄」(JailBreak,JB)的程序。這是一種針對Apple所開發之作業系統iOS進行破解的技術程序。經過JB程序後,使用者便能夠得到最高的權限,並解除iPhone手機本身的一些功能限制,繼而順利安裝並執行鑑識工具軟體。
透過JB再安裝鑑識軟體,最後完成iPhone手機的實體萃取。這樣的做法卻有相關的問題值得注意。首先,雖然透過鑑識工具的方式可以完整地複製出內部所有的資訊,使其達到實體萃取的效果,但JB本身卻是一個具爭議性的程序。
儘管美國國家圖書館所屬的版權局於2010年7月26日針對1998年通過的「千禧年數位版權法」(Digital Millennium Copyright Act,簡稱DMCA)進行檢討,宣布「當使用者為了讓智慧手機作業系統能與未獲手機或其作業系統製造商批准的獨立創作應用程式相容,而對手機進行破解,這種純粹只為了這種相容性而進行的修改是公平的使用」,但站在數位鑑識的程序上來看,此種更動手機作業系統的做法在適法性上仍然有裁量的空間。
其次,透過JB所執行安裝的鑑識工具,在安裝完成後必須重新開機,此舉動或多或少會造成內部資訊些微的更動,儘管這些更動可能是無害的,但以數位鑑識的角度出發便有討論的空間。
儘管實體萃取的優勢為可以將整個使用者分區的資料全部以位元複製或映像檔的方式萃取,其中的內容可能包含已刪除但未被覆蓋的各類重要資訊,但因上述的兩種情形,使得實體萃取的方法在實作上還是會對手機證物本身有一定程度的影響。
2. 邏輯萃取
所謂的邏輯萃取,是透過與作業系統的互動而將iPhone內可以見到的內容擷取出來。換句話說,必須透過直接操作iPhone的方式,在iPhone內搜尋所欲取得的數位證據。
在邏輯萃取的情況下,操作者無法如實體萃取一般取得已刪除的檔案。此外,若所查獲的iPhone手機已經反鑑識技術加密或損毀,則也無法透過邏輯萃取的方式將資料萃取出來。
另一個顯而易見的問題是,直接操作的方式有很大的可能會對於iPhone手機本身內容造成更動,人為的錯誤操作也會導致iPhone手機證物的證明力遭到質疑。
Apple iTunes與iPhone備份檔案
Apple iTunes是Apple針對其出產之系列產品所設計的電腦端應用軟體,可視為是該公司產品與個人電腦介接的驅動程式與管理平台,除了具備完整的影音播放器功能外,同時還具備同步、備份、燒錄、共享與瀏覽App Store的功能。
在iPhone手機的同步功能中,可同步的資料包含音樂、影片、相片、應用程式、通訊錄、行事、電子郵件帳戶以及書籤等等,上述資料可直接於主畫面的同步設定中做管理。