定位服務 iOS LBS 行動 資安 安全 稽核 犯罪 鑑識

鑑識iOS地理定位服務 追蹤行動設備位置軌跡

在iPhone帶給一般人生活諸多便利的同時,利用iPhone從事非法行為的案件也與日俱增。若能從iOS裝置取得犯罪跡證,對於調查不法事件將有相當大的幫助,所以針對iOS裝置進行數位鑑識,並從中取得可以佐證或追蹤犯罪的相關資訊,就成為不得不注重的課題。
iBackup Viewer
iBackup Viewer為檢視iOS備份或裝置的應用程式,將其備份之加密文件解密而得以直接檢視其內容,如圖2所示。


▲圖2 iBackup Viewer操作畫面。

可透過此程式來取得聯絡資訊、電話紀錄、訊息、網路紀錄,還可以在HFS+架構下查看.plist與.sql檔案的內容。

iPhone Backup Extractor Software
iPhone Backup Extractor Software不能直接透過軟體來檢視備份,但可在HFS+架構下選擇資料夾來萃取備份的內容,如圖3所示。

該軟體的特別之處在於具備將裝置內之定位儲存資料輸出成KML檔案的功能。此軟體的免費版僅能萃取少部分的資料,因此本文僅著重在它的定位資料輸出功能。


▲圖3 iPhone Backup Extractor Software操作介面。

iPhone Backup Extractor
iPhone Backup Extractor的使用者介面較為簡易,卻能直接從備份的檔案架構中進行資料萃取,如圖4所示,所取得的內容完整且相容於Mac OS,並將SQLite資料庫內容解密以提供清楚的資訊。


▲圖4 iPhone Backup Extractor程式畫面。

iOS定位萃取方式

由於智慧型手機已經與人們形影不離,而這些裝置都具有定位服務,所以可以透過此特性來調查犯罪者行蹤。欲對Apple行動裝置做此類的調查,必須先了解iOS的基本架構與定位服務。

最新的iOS裝置所具備的定位服務允許有定位基礎需求(Location-based)的應用程式與網站(包括地圖、相機、網路瀏覽器與其他第三方應用程式)來使用Cellular*行動網路(為裝置支援4G LTE、3G、 HSPA、HSPA+ 和 DC-HSDPA 行動網路之統稱)、Wi-Fi、全球定位系統(GPS)網路和藍牙所取得的大略位置。

舉例來說,應用程式透過定位服務來取得使用者所在位置與當地資料,即可提供搜尋附近電影院或便利商店的服務;該裝置亦可根據使用者位置來調整成所在地時間並取得所在地的天氣資料。只要掌握行動裝置中的定位服務資訊,即可透過此服務來取得犯罪者的行蹤。

取得定位服務的方式可分為「行動裝置」分析與「備份檔案」萃取,分析如下:

「行動裝置」分析

可從系統設定、Google、照相資訊等三方面來加以說明。

系統設定
直接從iPhone設定中找出該使用者最常出沒的定位位置,如圖5所示。操作路徑依序為:設定→隱私權→定位服務→系統服務→常用位置。


▲圖5 從系統設定中取得使用者的常用位置。

藉此可得知該裝置之使用者頻繁出現的地點,而這些地點很可能是其住所或上班的地點,這在犯罪調查中可透過時間比對來推測犯案的準備與犯案地點。

Google
許多iPhone與iOS裝置皆有安裝Google相關應用程式,其中以Google Map為最。若該裝置的使用者有登入其Google帳號並使用該應用程式,Google會自動記錄使用者裝置的所在位置,並可透過瀏覽器來查詢完整的定位紀錄,如圖6所示。此外,此方式可同時用於Android系統的Google Apps。


▲圖6 從Google定位紀錄查詢使用者的位置。

此定位紀錄可隨著下方的時間軸進行位置查詢,即可得知使用者的詳細位置與大概移動的方向,這在犯罪調查中可判斷該犯罪嫌疑人停留的時間與 地點。

照相資訊
使用iPhone內建照相功能時會自動搭配定位服務,即可取得當時拍照的時間與地點,如圖7所示,此照片資訊於犯罪調查中可用來追蹤犯罪嫌疑人的動向。


圖7 iPhone內建照相功能所拍攝之相片資訊。

「備份檔案」萃取

以下分成三部分來做說明,依序為從備份中取得consolidated.db、利用iPhone Backup Extractor Software取得定位之KML檔案、利用iPhone Backup Extractor取得consolidated.db。

從備份中取得consolidated.db
iOS裝置於iOS 5之前會將使用者一年內的GPS紀錄完整儲存於consolidated.db檔案內,如圖8所示。


▲圖8 iPhone Tracker畫面。

而consolidated.db存放於「User/Library/Application Support/MobileSync/Backup」,可利用iPhone Tracker取得使用者一整年的所在位置,如圖9所示。


▲圖9 iOS 5以前使用者地圖軌跡。

遺憾的是,在後續的版本已無法取得這些資訊,如圖10所示。


▲圖10 iOS 5以後無法取得consolidated.db。

利用iPhone Backup Extractor Software取得定位之KML檔案
使用iPhone Backup Extractor Software來檢視備份,若右下角的Location data欄位中為「Yes」,則可進行定位之萃取。

點擊「Yes」之後,就可以取得Location.kml檔案,如圖11所示。


▲圖11 使用iPhone Backup Extractor Software來取得定位資料的KML檔。

以Google Earth來開啟KML檔案,即可匯出iPhone使用者的定位資訊,如圖12所示。


▲圖12 將所得的KML檔匯入Google Earth,可得到使用者地圖軌跡。(資料來源:http://www.iphonebackupextractor.com/)

利用iPhone Backup Extractor取得consolidated.db
iOS 5之後的版本已經將備份檔裡的consolidated.db移除,但透過實體萃取仍然可以取得。首先,使用iPhone Backup Extractor來檢視備份,選擇「iOS File」後點選右下角的〔Extract〕來進行萃取,而從iOS File資料夾中可以取得consolidated.db檔案,如圖13所示,其路徑為「iOS Files/Library/Caches/locationd」。


▲圖13 使用iPhone Backup Extractor來萃取iOS File。

然後,如圖14所示使用SQLite Manager來開啟consolidated.db檔案,就能夠取得timestamp與定位座標進行分析。


▲圖14 使用SQLite Manager來檢視consolidated.db。

情境模擬

調查人員於5月17日中午在台北市大安區逮捕一名毒販,在毒販用車的七人坐休旅車上發現價值數百萬的海洛英磚而將其人贓俱獲。

此名毒販綽號阿龍,為北台灣數一數二的毒品藥頭,有數台名車作為代步工具,加上生活作息不正常,使得調查人員不易追蹤查緝。

隨即接獲線報,5月16日傍晚於桃園中壢有一場毒販的吸毒派對,而阿龍正是這場派對的主辦人。

調查人員欲將他們一網打盡,但阿龍始終否認其參與此派對,故調查人員合法扣押其行動裝置iPhone 5,來調查並進行數位證據的採集與後續 分析。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!