本文以iOS作業系統為主的iDevice(如iPhone 5、iPad 2、iPod touch等)作為探討標的,當非法人士以WeChat進行犯罪訊息溝通時,鑑識人員該如何有效地萃取出關鍵的數位跡證,搜尋出WeChat內的對話內容、聯絡人、使用者資訊及影音等紀錄訊息。
第二種則是透過如XRY、Universal Forensic Extraction Device(UFED)等鑑識工具,在選擇設備的連接頭後,鑑識工具可以直接連接iDevice並將資料進行邏輯萃取。
但是,選擇鑑識工具的方法會有支援的問題,因為iOS的版本會不斷地更新,而鑑識工具不能保證在iOS推出新版本後還能否順利地支援,但iTunes則無此問題存在。
2. 實體萃取
實體萃取可以完整地將iDevice內實體的檔案系統狀況以Bit-by-Bit方式萃取出,包含已刪除的資料,而這是邏輯萃取無法辦到的。但是,實體鑑識方法必須對iDevice進行JB(Jailbreak)越獄的程序,以取得最高權限。
Apple為了保護系統的穩定,安裝至iDevice的APP皆須通過Apple授權才能夠安裝下載。但鑑識軟體屬於第三方未授權軟體,所以要將鑑識軟體安裝至iDevice,必須取得最高權限後才能進行,而Jailbreak則是取得iDevice最高權限的方法。
經過Jailbreak後,就可以對iDevice進行實體萃取,並透過Wi-Fi方式將iDevice資料分區內的映像檔(Image)傳送出來,但Wi-Fi有傳輸過慢的問題,後來有相關研究透過Apple Camera USB傳輸映像檔,改善了Wi-Fi傳輸過慢的問題。
實體萃取雖然可以比邏輯萃取獲得更多的細部資訊,但實體萃取中所使用的越獄方法會更動iDevice系統分區的設定,這使得法庭對於經由實體萃取出的數位證據產生了證據力是否完整的懷疑。
3. 拆開設備
這是具有破壞性的鑑識,從拆開後的iDevice對儲存資料的快閃記憶體進行映像檔製作,之後再對映像檔進行分析。但這個鑑識方法有風險,一旦破壞設備後便無法再復原。
在2010年時,也有研究以邏輯萃取的方式,透過iTunes備份檔分析iPhone 3GS內的紀錄,這些紀錄是以40位元長度的Hash值作為命名,且檔案格式多為plist檔及sqlite資料庫,他們透過SQLite Browser/Plist ediotr開啟iTunes的備份檔,發現了iPhone 3GS中APP的紀錄檔會有固定的檔案名稱,所以只要將這些檔案名稱識別出來,即可了解檔案中的記錄內容。
透過這個方法,就可以分析iPhone內即時通訊的訊息,如AIM、Yahoo! Messenger。面對使用即時訊息犯罪的使用者時,鑑識人員即可對照Hash值的檔案名稱,有效率地搜尋出關鍵的數位跡證。
此外,社交類APP,如Facebook、Twitter、Myspace,也有即時地將資訊分享出去的功能,當以邏輯萃取的方式獲取iPhone手機的備份檔時,從APP(Facebook、Twitter、Myspace)殘留於iPhone手機的訊息可以發現,備份檔的紀錄中會有使用者註冊ID、密碼、通訊的朋友ID、對話內容等,而WeChat則是結合了社群及即時通訊的功能。
以下將說明WeChat在iPad 2和iPod touch的數位跡證,可協助鑑識人員在鑑識WeChat的犯罪時能夠順利萃取出在iDevice內的訊息紀錄。
WeChat在iDevice上的紀錄
以下將分成WeChat的通訊功能介紹、iDevice中的WeChat跡證兩方面來加以說明。
WeChat的通訊功能介紹
從WeChat通訊軟體的名稱來猜想,很容易聯想到朋友之間無話不談的情境,「We Chat」—我們盡情地聊吧!WeChat為通訊加入新的元素,不同的溝通方式、新穎的交友模式,擺脫以往對通訊軟體固有的框架,不再是單單只有一個對話方塊的對話視窗。
聊天是很自然而然的習慣,它是與別人閒話家常維繫情誼的方式,又或者是生活舒壓的管道,聊天最需要的就是要有談天的對象,而WeChat卻只要將手機搖一搖,就能找到一大堆在地的朋友,這是什麼樣的功能呢?底下就針對WeChat的通訊功能做簡略的介紹:
跨多個平台,系統支援度廣
由Apple推出iPhone手機後,智慧型的行動裝置有如雨後春筍般地被相繼推出,例如Andriod、Windows Phone、BlackBerry等。
在行動裝置蓬勃發展的情況下,經常發生的情況是,使用者擁有的行動裝置版本會有不同的情形,在智慧型手機為Anodriod版本與平板電腦為iOS版本的使用習慣下,就會發生APP無法同時支援兩套版本系統的窘境。
而WeChat面對這個難題,就致力地開發不同版本的APP環境,目前支援的版本包括iOS、Andriod、Windows Phone、Symbian、BlackBerry及網頁版本。
簡單化的註冊,快速登入
以往若要使用通訊軟體,必須先下載軟體安裝再填寫一大堆的註冊資料,如帳號…密碼、姓名、電話、信箱等,才能進行通訊,相當的麻煩。WeChat想到了這一點,把註冊變得簡單,只要輸入手機號碼就可以完成註冊,無須再多輸入資料。
此外,也有其他的註冊方式,例如可以將既有的Facebook、Twitter帳號直接加入WeChat註冊,不必再另外申請帳號。在註冊的簡便性及免費的誘因下,WeChat的註冊人數在很短的時間之內就突破上億的人次。
四海之內皆朋友,加入朋友好便利
Facebook是市占率排行第一的社群網站,在朋友的連結功能上是最被大家所讚賞的。Facebook能根據使用者的生活背景,如學校、交友關係、居住地區等,自動地找尋朋友。
「社群」就是一群人在一起而形成,而WeChat在社群交友的方式,與Facebook的精神很相同,以最有效率的方式找到屬於個人的社群。以下介紹WeChat的「新增朋友」、「附近的人、搖一搖、漂流瓶」兩種交友方式。
第一種是「新增朋友」。WeChat的新增朋友中提供四個選項,有搜尋帳戶、掃描QR Code、手機通訊錄、官方帳戶。普遍加入朋友的方式,就是輸入ID,但WeChat還額外新增一個方式,就是輸入QR Code。
如圖2所示,當成功註冊WeChat時,WeChat就會產生一組屬於個人的QR Code,可以將這一組QR Code透過Facebook分享出去,當有人想把你加入WeChat的朋友時,只要藉由掃描QR Code就可以完成。而手機通訊錄與官方帳戶都是透過ID的方式加入,這讓用戶有更多的方式來選擇所要加入的朋友。
|
▲圖2 個人的QR Code名片。 |