用來記錄個人運動狀態的應用程式,確實會留存詳細的GPS資料,若搭配相關軟體,即可找出他人的活動狀態。對此,本文將從Android智慧型手機中備份出應用程式內的GPS資料,並將其軌跡重現在地圖上,進而判斷是否有異常現象,以協助犯罪調查。
近年來,因為智慧型手機的功能與方便性迅速發展,而受到許多民眾的青睞,使得許多原本僅侷限於電腦的網際網路等數位服務,可於智慧型手機上順暢運行,也因此智慧型手機或多或少存有民眾的個人或機敏資料,使其遭受到網路犯罪或網路詐欺的風險對比其他資訊設備要高出許多。
若從犯罪調查的角度去思考,操作者亦可能會在使用智慧型手機時,不經意地留存有利日後調查的存留資料(數位證據),例如通聯對象的電話資訊、通訊軟體的對話紀錄、私密照片或全球定位系統(Global Positioning System,GPS)資料等。如何針對智慧型手機進行數位證據擷取及數位鑑識分析,以取得有助於破案的關鍵數位證據,實為重要。本文將以Android系統為主,說明如何萃取Android智慧型手機的GPS定位資料。
相關背景知識說明
在開始說明之前,先簡單介紹Android作業系統、全球定位系統(GPS)、說明何謂手機鑑識,簡單介紹Google「我的地圖」(My Maps)功能,以及會使用到那些鑑識軟體。
Android作業系統
Android是開放原始碼的行動裝置作業系統,以Linux為基礎核心進行修改及新增功能,其可安裝於智慧型手機、平板電腦、穿戴裝置等行動裝置,由Google主導的Open Handset Alliance持續開發並更新。
全球定位系統GPS
全球定位系統是由美國國防部(Department of Defense)所開發的,1994年正式提供服務,它使用24顆人造衛星,可以提供地球表面98%的地區其定位、測速及標準時間。使用者只要持有GPS接收裝置,且能接收到的衛星訊號,即可使用該服務,且無須付費。
而Android GPS是Google Play的其中一個服務,可以用來記錄Android裝置使用者的軌跡、所在地點。
手機鑑識
數位鑑識可分為電腦鑑識、手機鑑識、網路鑑識、資料庫鑑識、多媒體鑑識、屬於新興科技之雲端鑑識及物聯網(Internet of Thing,IoT)鑑識等領域,且根據國際標準化組織(ISO)與國際電氣技術委員會(IEC)共同提出的ISO/IEC 27037標準,數位鑑識流程又可分為數位證據的識別(Identification)、蒐集(Collection)、擷取(Acquisition)以及保存(Preservation)等階段,如圖1所示。
|
▲圖1 數位鑑識流程。 |
手機鑑識流程雖因各品牌手機作業系統、傳輸介面等規格不盡相同,在擷取數位證據階段略有差異,但仍可以取得資料的種類,簡單分為實體擷取(Physical Acquisition)與邏輯擷取(Logical Acquisition)。
所謂的實體擷取,是透過專業數位鑑識設備與軟體,以位元串流複製方式對目標手機製作數位證據映像檔,此方式的主要優點是可以完整複製手機內容,並且有機會恢復刪除的資料或檢視隱藏的檔案。缺點是需要root(系統管理者)權限與較長的製作映像檔時間。而邏輯擷取,則使用適合的連線機制,將手機連接至鑑識分析主機或手機鑑識設備,再針對目標手機執行資料備份動作,即可取得邏輯性的檔案資料。優點是處理過程速度較快且手機鑑識軟硬體規格要求較低,缺點是無法還原已遭刪除的檔案。
Google地圖之「我的地圖」(My Maps)功能
Google地圖可以讓使用者進行地址、商家、景點等等的地點搜尋、透過街景畫面查看實況或路線規劃導航等功能。本文使用Google地圖中的My Maps功能,可讓使用者自行定義目的地及順序,或將GPS定位點紀錄匯入到My Maps內,結合每筆紀錄的時間資訊,以地圖方式描繪出GPS裝置移動歷程軌跡。鑑識分析人員可藉此以更直觀的方式輔助分析GPS紀錄是否有異常之處。