近年通訊類軟體搭載智慧型行動裝置的列車發展快速,從初期只能用文字圖片傳遞訊息,到現行設計能夠視訊通話並且可組織聊天群組,溝通暢行無阻,這足以說明通訊的重要及被重視程度。通訊紀錄是了解使用者通訊活動的重要依據,是以本篇文章透過萃取LINE數位跡證的討論,讓大家了解目前行動裝置的鑑識工作與證據取證作業。
為什麼通訊軟體會如此蓬勃發展?從以前的MSN、Skype,到現行行動裝置上的App,如LINE、WeChat、KakaoTalk,風行原因其來有致,這類通訊軟體無非是呼應了一般人的需求——社交溝通。
以往只能用口述的方式來描述身邊的人事物,但這樣口述效果總是有限,看不到畫面、受限距離。而現在通訊軟體成熟地發展,傳送照片、語音、位置訊息都是容易辦到,甚至交友也包含其中。行動網路的應用服務調查結果顯示,擁有手機的使用者花費在手機的時間有21%是在社交通訊上,排行首位,其次才是娛樂、瀏覽網頁。
社交通訊軟體中,LINE是廣被人知悉且使用,甫推行半年,就有千萬的下載次數,豐富的卡通貼圖、簡單對話方式及貼心的訊息功能,讓人愛不釋手。正當大家為其瘋狂之際,面對LINE所產生的通訊紀錄,將是鑑識人員眼前的議題。
在LINE時,犯罪正悄悄地靠近,犯罪者利用LINE通訊功能易於組織群組的特性,進行犯罪合作並且散播犯罪或詐騙訊息,以獲取不法利益。在這樣情況下,萃取出犯罪者所使用行動裝置內的數位跡證便成了首要工作,鑑識人員可從數位跡證中證實犯罪者行為是否違法。
另外,近期BYOD(Bring Your Own Device)的概念逐漸興起,將行動裝置隨身攜至工作,代表除了犯罪者外,也說明了一般人越來越依賴行動裝置,靠著它完成更多有價值性的作業。
有此可見,行動鑑識是刻不容緩的工作,在通訊或其他軟體作業過程中所產生的紀錄,將是鑑識未來的重點,鑑識人員如同偵探般的角色,抽絲剝繭,層層蒐集數位跡證,從蒐集的數位跡證還原使用者的活動,證實違法行為。
國際市調機構IDC調查,Android系統的行動裝置市占率高達78.6%,遠高於其他的作業系統(iOS、Windows)。以下將探討LINE在Android行動裝置上產生數位跡證的萃取方法。
在此課題下,得先了解存在Android系統內的數位跡證是不同於電腦的數位資料,它不會顯示資料格式,且它的證據屬數位微證據(Small Scale Digital Device),行動裝置鑑識非同於電腦鑑識,不再是大容量資料的鑑識。以下開始介紹相關鑑識方法,如何萃取數位跡證,方能確保其證據能力。
相關知識說明
相關背景介紹,可從隱藏的數位跡證及鑑識原則的遵守兩方面來加以說明。
隱藏的數位跡證
LINE的通訊功能讓人們的社交變得容易,但是這個被大家所喜愛的通訊軟體,正被犯罪人士利用來進行非法的活動,如販毒、色情交易、詐騙,獲取非法利益。
一旦這些非法活動發生時,所產生的數位跡證就是鑑識人員的目標。因為要還原犯罪活動,關鍵就藏在這些便利的通訊功能下所產生的資料,好比傳送好友資料時會產生通訊錄紀錄、聊天時所傳送的圖文訊息。
從以前GSM系統到現在Android、iOS等多種系統,抑或萃取跡證從簡單的文字資料(如簡訊、聯絡人通訊紀錄)到較為複雜App軟體所產生的數位跡證,行動裝置的鑑識與時俱進。
行動裝置一系列的進步,造成數位跡證的改變。以往使用GSM通訊,鑑識人員多從SIM卡萃取資料,如用戶的聯絡簿、訊息、通話紀錄等,但隨智慧型手機的發展,要滿足鑑識需求,萃取行動裝置所產生的資料已不能侷限於文字或資料存放的位置只在於SIM卡。這一波智慧型手機的資訊革命,鑑識技術是絕對需要持續地發展,如此才有辦法應付科技的進步。
鑑識方法中有兩種態樣作法,包括「非破壞性鑑識」與「破壞性鑑識」,從表1中可以看出,破壞性的萃取方法,有可能會存取到原始資料,影響到證據力,但卻可獲取較詳盡的資料,而邏輯性萃取則恰巧相反。
哪一種方式是最適當,並無絕對答案,因為鑑識方法的選擇端看鑑識人員須取得多詳細的資料以及評估行動裝置的情況而定。暫時先撇開鑑識方法不談,說明一下鑑識的過程,有效的過程是影響數位跡證的證據力,其重要性不亞於鑑識方法。
表1 鑑識方法的比較