2013年5月16日 星期四

LINE免費傳訊潛藏危機 實戰iPhone備份檔案鑑識


以iTools工具匯入解析iTunes備份檔
LINE免費傳訊潛藏危機 實戰iPhone備份檔案鑑識

由於App-LINE的使用者占了所有使用通訊App用戶中極高的比例,因此這裡將透過工具來管理Apple iTunes官方軟體所建立的備份資料,並從中萃取及還原出許多手機相關內部資訊,也針對LINE在備份檔案中做相關的鑑識與分析,以協助鑑識人員了解曾使用手機從事何事並進一步釐清真相。

根據國際數據公司(International Data Corporation,IDC)的統計指出,2011年第一季的智慧型手機出貨量,Apple公司已較去年同期增加10萬支,並占據智慧型手機總出貨量的18.7%,僅次於Nokia。

由於Apple所推出的iPhone手機搭載自行研發的iOS作業系統,一體成型的外觀與平易近人的使用者操作介面更博得使用者喜愛,因而成為智慧型手機的新寵兒。

由於智慧型手機的普及,許多應用軟體廣受大家的使用,像是通訊App-LINE的使用漸漸地也有越來越多的趨勢,甚至有使用者將其拿來取代傳統的電話、簡訊通訊。也正因如此,犯罪者使用通訊軟體進行犯罪的可能性也將大幅提高。

為此,本文提出在管理iPhone手機備份檔案中針對LINE的檔案進行鑑識與分析。透過Apple所提供的iTunes官方軟體將iPhone手機製作備份,並針對其備份資料做一深度的分析與萃取,取得數位證據還原真相,用以輔佐案件鑑識之進行。

相關背景說明

在開始iPhone手機數位鑑識之前,先介紹兩種萃取的方式,然後簡單說明Apple iTunes及iPhone的備份檔案,最後則介紹相關的工具軟體。

iPhone手機數位鑑識 

隨著現今iPhone手機的普遍性,不少犯罪亦伴隨而來,但相較於傳統手機鑑識技術,iPhone手機本身具有一些獨特的限制性,例如只能安裝Apple所授權的軟體、本身構造無外接任何記憶體空間以及其與電腦特殊的插孔連結等等。這些限制都讓鑑識人員在操作時有一定的複雜度與難度。

基於上述的情形,對於iPhone手機之數位鑑識的基本萃取方式包括以下兩種:

1. 實體萃取 

若鑑識人員要對iPhone手機進行實體萃取,必須在手機內安裝鑑識工具,然後透過鑑識工具將手機內部資訊,以位元複製或製作映像檔的方式萃取出來,再以傳統的數位鑑識方式分析。

然而,由於iPhone手機的獨特性,鑑識人員若要順利安裝鑑識軟體,就必須先執行「越獄」(JailBreak,JB)的程序。這是一種針對Apple所開發之作業系統iOS進行破解的技術程序。經過JB程序後,使用者便能夠得到最高的權限,並解除iPhone手機本身的一些功能限制,繼而順利安裝並執行鑑識工具軟體。

透過JB再安裝鑑識軟體,最後完成iPhone手機的實體萃取。這樣的做法卻有相關的問題值得注意。首先,雖然透過鑑識工具的方式可以完整地複製出內部所有的資訊,使其達到實體萃取的效果,但JB本身卻是一個具爭議性的程序。

儘管美國國家圖書館所屬的版權局於2010年7月26日針對1998年通過的「千禧年數位版權法」(Digital Millennium Copyright Act,簡稱DMCA)進行檢討,宣布「當使用者為了讓智慧手機作業系統能與未獲手機或其作業系統製造商批准的獨立創作應用程式相容,而對手機進行破解,這種純粹只為了這種相容性而進行的修改是公平的使用」,但站在數位鑑識的程序上來看,此種更動手機作業系統的做法在適法性上仍然有裁量的空間。

其次,透過JB所執行安裝的鑑識工具,在安裝完成後必須重新開機,此舉動或多或少會造成內部資訊些微的更動,儘管這些更動可能是無害的,但以數位鑑識的角度出發便有討論的空間。

儘管實體萃取的優勢為可以將整個使用者分區的資料全部以位元複製或映像檔的方式萃取,其中的內容可能包含已刪除但未被覆蓋的各類重要資訊,但因上述的兩種情形,使得實體萃取的方法在實作上還是會對手機證物本身有一定程度的影響。

2. 邏輯萃取

所謂的邏輯萃取,是透過與作業系統的互動而將iPhone內可以見到的內容擷取出來。換句話說,必須透過直接操作iPhone的方式,在iPhone內搜尋所欲取得的數位證據。

在邏輯萃取的情況下,操作者無法如實體萃取一般取得已刪除的檔案。此外,若所查獲的iPhone手機已經反鑑識技術加密或損毀,則也無法透過邏輯萃取的方式將資料萃取出來。

另一個顯而易見的問題是,直接操作的方式有很大的可能會對於iPhone手機本身內容造成更動,人為的錯誤操作也會導致iPhone手機證物的證明力遭到質疑。

Apple iTunes與iPhone備份檔案

Apple iTunes是Apple針對其出產之系列產品所設計的電腦端應用軟體,可視為是該公司產品與個人電腦介接的驅動程式與管理平台,除了具備完整的影音播放器功能外,同時還具備同步、備份、燒錄、共享與瀏覽App Store的功能。

在iPhone手機的同步功能中,可同步的資料包含音樂、影片、相片、應用程式、通訊錄、行事、電子郵件帳戶以及書籤等等,上述資料可直接於主畫面的同步設定中做管理。


另外,當iTunes與iPhone介接時,可於畫面上直接得知iPhone的設備摘要資訊,如設備名稱、容量、版本及序號等等,並會自動檢測作業系統的版本,若有更新版本或想恢復初始設定,可直接點選更新或回復,如圖1所示。


▲圖1 iPhone手機介接iTunes主畫面資訊。

通常,使用者在使用Apple iTunes時為了讓電腦與iPhone能夠保持一致性,均會設定讓電腦中的內容能夠自動與手機做同步處理。

若執行備份動作,僅需在圖1的左邊窗格找到iPhone手機,以滑鼠於上方點按右鍵後選擇【備份】,即能完成iPhone的手機備份動作。

透過Apple iTunes所執行的備份,其備份檔案會因作業系統不同而儲存在電腦中的不同路徑,彙整如表1。

表1 iTunes備份檔案儲存路徑 


在Windows作業系統下,部分資料夾可能預先設定為隱藏,必須先在「資料夾選項」視窗中將其設定為顯示,才能看得到相關資料。

開啟「Backup」資料夾時,可發現裡面有一個以16進位的數字與字元所組合而成(0-9與a-f)、長度為40個字元的資料夾名稱。這個由40個字元組合成的HASH code是由iTunes在執行備份時所賦予的特殊編碼,這個資料夾裡面同時也存放著上百個同樣由16進位的40個數字與字元所命名的檔案,這些檔案即是iTunes由iPhone手機的內部記憶體中所複製出來的各類資料,並同樣賦予獨特的40字元組成之檔案識別名稱。

備份出來的檔案因iOS的版本而有不同的副檔名,彙整如表2。在iPhone手機內部的檔案系統中,以兩種不同的檔案格式儲存資料。手機中的設定值、狀態資訊、應用程式設定與偏好設定是以XML的格式儲存於plist檔案內;而諸如手機內容、通話紀錄、備忘錄、行事曆與簡訊等,則是以SQLite的資料庫格式所儲存。

表2 備份檔案副檔名與iOS對照表 


工具與軟體介紹

以下介紹LINE與iTools這兩種相關軟體的功能與特性。

LINE 
LINE是一種用戶間可以不分國界、不分電訊網路而享用免費語音通話、傳送免費短訊的智慧手機應用程式。自2011年6月發布以來,截至2012年3月5日約8個月內,全世界下載量已達到兩千萬次(iPhone/Android合計),增長快速。在電腦上安裝專用程式,即可在電腦上使用LINE,突破了以往僅能於智慧手機上使用的限制。並且,同時發布的智能平板電腦網頁版,可於iPad、Android Tablet等智慧平板終端上使用。利用平板電腦的大畫面,用戶無論在家或是在公司都可以輕鬆使用。

iTools 
使用iOS系統相關設備(iPhone、iPad、iPod touch等)的使用者都知道Apple產品有一個共通的缺點,就是iTunes在使用上有一定的限制,因此iTools便是非官方第三人所開發出來方便化管理iOS系統相關設備的一個人性化的工具,其功能讓使用者可以用拖拉的方式管理檔案,也可針對備份進行管理。

LINE的iPhone備份檔案解析

以下從使用iTools工具管理備份檔案以及管理LINE的備份檔案並解析兩方面來進行說明。

使用iTools工具管理備份檔案

iTools工具的功能讓使用者可以更自由地管理iPhone手機,而其另外一個好處是能夠直接以模擬手機連結的方式管理備份檔案,並讓備份檔案的資料以介面化的方式呈現,有助於尋找各種資訊。如圖2所示,只需將備份檔案匯入iTools工具內,便能做進一步的管理。


▲ 圖2 在iTools切換至「工具箱」畫面,然後點選「iTunes備份管理」來使用「導入」功能。

管理LINE備份檔案並解析

以iTools將備份檔案打開後,在「/var/mobile/Applications」資料夾內便會看見以介面化所呈現的APP分類資料夾,並在其中的「jp.naver.line/Documents/」資料夾裡找到一個talk.sqlite檔案,由於副檔名可明顯辨識,所以使用「sqlitebrowser」打開,發現其中存放了LINE程式過去所有的聊天紀錄。

將其切換至「Browse Data」頁面,並檢視「ZMESSAGE」資料表,發現在「ZTEXT」欄位內便是使用者聊天的內容,並且進一步發現在「ZMESSAGETYPE」中S代表使用者所發送出的內容,而R表示使用者接收的內容,如圖3所示。


▲圖3 talk.sqlite檔案當中所包含的聊天資訊。



此外,在R所表示接收的行列中,發現「ZSENDER」內所代表的數字(10、19)可以對應另外一個資料表「ZUSER」當中的「ZPK」數值,並可進一步了解使用者傳訊的對象,如圖4所示。


▲圖4 ZSENDER與ZUSER內的聯絡人對應。

而在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments」資料夾裡更可以找到使用者傳送與接收的媒體檔案,其檔名分類便是對照talk.sqlite檔案中ZUSER資料表內的ZMID欄位,如圖5所示。


▲圖5 傳送媒體資訊的檔案紀錄夾與ZMID應對。

另外,在「/var/mobile/Applications/jp.naver.line/Library/PreferencesiPhone」資料夾內的jp.naver.line.plist檔案,使用plist Editor程式開啟後,將其拖曳至最下方,便可了解使用者註冊LINE所使用的手機號碼(圖6)。


▲圖6 使用者註冊LINE所使用的電話號碼。

若以綁架案為例,犯罪者可能使用這種虛擬的社交網路,虛假增進感情,繼而誘騙被害人見面,犯下綁架案。

對此,可藉由此處所介紹的操作,由圖304中的資料找出犯罪者與被害人傳訊的內容,抑或找出犯罪者與共犯的共謀證據。

並且從圖5的資料當中找到其所可能選擇的標的物照片,最後鑑識人員便能夠從圖6中找到犯罪者的電話號碼,繼而掌握相關有力的證據,來協助偵辦案件調查。

結語

隨著科技的快速發展,智慧型手機的功能也日益強大,人們對於手機的依賴已不可同日而語。甚至在通訊上也有部分族群轉為使用通訊APP的方式取代以往傳統的電話、簡訊聯繫方式。

不可避免地,在科技帶來而形成的這種虛擬通訊網路中所潛藏的危機也應該受到重視。此外,iPhone手機也可能因此涉入各類非法使用而淪為犯罪工具。

透過本文的介紹並彙整備份檔案在iTools管理下對於通訊軟體LINE的解析,可以協助鑑識人員在面對此通訊軟體時能夠有助於分析作業。

本文並透過實作,彙整幾個較為重要的原始SQLite資料庫與plist檔案所相對應的備份檔案,讓鑑識人員執行鑑識分析工作時能夠更快速且有效地萃取出重要的數位證據,協助還原現場與事件真相。

原文出處:中央警察大學資訊密碼暨建構實驗室(ICCL)

轉載自《網管人》