2013年9月21日 星期六

從iOS社交App 找出互動數位跡證

網路犯罪難追蹤 鑑識通訊過程還原證據
從iOS社交App 找出互動數位跡證

社交App(Social Networking App)是在App商店中被大家搜尋下載的熱門軟體。隨著行動網路的發展,已越來越多人選擇使用社交App來進行通訊,然而在資訊分享變得方便之餘,但卻有非法人士利用通訊軟體來進行非法活動,將通訊軟體作為犯罪訊息的傳遞工具,因此當有通訊犯罪的情事發生時,其通訊紀錄就會成為重要的數位跡證。

行動裝置鑑識將是未來的趨勢,Apple i系列的行動裝置是一個很完整的產品設計,它依據不同使用需求而推出,所以當使用者透過社交App進行通訊時,就可以視情況選擇iDevice(iPhone、iPad、iPod touch)進行訊息的傳遞。

如圖1所示,根據Onavo Insights針對社交App在各國的使用狀況調查,很直觀地指出社交App使用上是有區域性的現象。


▲圖1 Social Networking在全球使用的狀況。

在亞洲地區,LINE、WeChat、KakaoTalk有很高的市占率,在台灣這三項社交App也是備受喜愛。所以本文即選擇這三項社交App進行鑑識研究。

當非法人士在iDevice上,透過社交App來進行犯罪交易時,所傳遞的文字訊息、語音訊息或者通訊雙方的資料,就是鑑識的關鍵跡證。但是對iDevice進行鑑識並不簡單,因為iDevice上的iOS系統屬於封閉性的系統。

為了保護系統安全,安裝至系統上的軟體皆必須經過Apple授權認證,所以鑑識工具軟體(第三方軟體)是無法安裝到iOS上。假如要強制安裝,必須經過一道越獄(Jailbreak)程序,取得最高權限後方能執行鑑識程序。

鑑識人員要從iDevice上萃取出數位跡證,除了有一定的限制外,鑑識方法也會隨著系統更新或是設備更換而有不同,所以必須採取一個合法的鑑識方法,將社交App在iDevice中所產生的數位跡證萃取出來,以協助鑑識人員還原使用者在Social Networking上進行的活動。

相關背景介紹

在進入正題之前,先介紹有關的背景發展源由,以下分別說明社交App通訊功能及行動裝置的鑑識方法。

社交App通訊功能 

由於智慧型行動裝置的普及,許多方便性的App前仆後繼地被推出。其中社交App在App Store中更是熱門排行的前段班。以LINE、WeChat、KakaoTalk為介面,從這三項通訊軟體的命名就很容易讓人聯想到朋友之間無話不談的情境,LINE—熱線上的談話、WeChat—當我們聊在一起、KakaoTalk—Talk,聊吧。

這些社交App會被大家所喜愛,原因不外乎它們擺脫了以往一般人對通訊軟體固有的框架,活潑逗趣的表情動畫、即時語音與文字的對講及新穎的交友方式,很難不被它所吸引,通訊不再只是一個在對話視窗下的聊天,而是能夠聯繫感情、組織社團、心情分享,如圖2所示為社交App的基本通訊功能。


▲圖2 社交App(LINE、WeChat、KakaoTalk)。

社交App的進一步說明,如下所列:

1. 系統的支援度 
現行的智慧型行動裝置市場可謂多雄群立,每家設計廠商為擄獲使用者的心,都經心地設計自家的獨特系統,如Android、Windows Phone、iOS等。

但在智慧型行動裝置蓬勃發展的情況下,經常發生的情況是,使用者會擁有兩台以上的智慧型行動裝置且版本不同的情形,在智慧型手機為Windows Phone及平板電腦為iOS版本的使用習慣下,就產生App無法支援兩種版本系統以上的問題。

針對這樣的問題,社交App的設計廠商也考慮到了,為留住使用者的心,設計廠商也致力地開發不同版本的App環境,符合大家擁有多台智慧型行動裝置的習慣。

2. 簡單化的註冊 
以往若要使用通訊軟體,除了需要下載軟體安裝外,還要耗費一番功夫填寫一大堆的註冊資料才能進行通訊,真是相當的麻煩。

但目前LINE、WeChat、KakaoTalk針對繁瑣的註冊程序都已進行改善,現在只要以手機號碼的方式向Social Networking送出註冊需求之後,Social Networking就回傳一份含有通訊識別碼的簡訊至手機上,待輸入識別碼後就完成整個通訊註冊,真的省事多了。

另外,除了電話註冊外,也有其他註冊方式供使用者選擇,例如可以將既有的Facebook和Twitter帳號申請註冊,不用再耗費心力去想一個新的帳號。

3. 加入朋友 
社交App是一種社群的概念,單一個人是無法進行對話。所以在社群交友方面,社交App設計出一套方法讓使用者方便地建立起屬於自己的社群,以下就來介紹社交App是如何設計出一套完整的交友模式,包括ID方式和以位置資訊加入朋友。

先說明ID方式的部分。社交App(LINE、WeChat、KakaoTalk)在新增朋友的功能中,除了一般透過帳戶ID將朋友加入通訊錄外,還有其他快速搜尋…自動加入朋友的選項,譬如掃描QR Code、自動搜尋手機通訊錄。

如圖3所示,QR Code是二維條碼的一種,社交App利用QR Code能夠儲存訊息的特性,將使用者個人的訊息放入QR Code內,當QR Code經掃描器讀取後,他人就能獲取其中的訊息並且加入朋友。


▲圖3 WeChat的個人QR Code名片。

因此,若將這一組QR Code透過Facebook分享出去,當有人想把你加入Social Networking時,只要藉由掃描QR Code就可以完成。而手機通訊錄則是當使用者成功註冊登入時,社交App就會自動配對與你同時使用相同通訊軟體的朋友,這樣可省去不少的步驟和時間。

接著,介紹如何以位置資訊加入朋友。地理資訊也可以成為交友的資訊,社交App將會以使用者的位置為中心,偵測附近同樣使用相同通訊軟體的使用者,例如App某項交友功能「搖一搖」,當雙方在附近同時間搖動手機時,通訊軟體就會抓取對方的資訊並顯示加入朋友的選項鍵。

而範圍更大的,如圖4所示,WeChat是以清單方式列出其他使用者的暱稱、大頭照、個人簽名及與使用者相距的距離,LINE、KakaoTalk則沒有這樣的功能服務。


▲圖4 WeChat搜尋朋友的功能。

4. 提供多樣化的通訊方式 
除了強調社群交往的功能外,社交App也在對話溝通上加入很豐富的內容,如動畫圖案、媒體檔案、視訊通話等等。值得一提的是,WeChat 4.5版推出的「即時對講」功能,對話的人只要按住對講鈕,聲音就會自動地送出,不同於語音訊息,它不需要先把聲音錄製好才能發送。

行動裝置的鑑識方法

針對行動裝置的鑑識步驟,為保護行動裝置內數位跡證的完整性,必須定義出一套標準流程,包括鑑識目的的確認、鑑識的方法、鑑識的內容及證據的呈現,每個階段都有需要確認的內容。

之所以會有這樣的鑑識流程,無非是行動裝置比起電腦,其所儲存的資料更有隱私及生活化,因為使用者會隨手攜帶著行動裝置,但不會隨手拿著電腦撥打電話或照相。

在這樣的現象下,如果要獲取行動裝置內的訊息,相對於電腦將繁雜許多,因為數位跡證的萃取需要有制度,且行動裝置上的系統也不像電腦系統,它屬於封閉的系統環境,例如iDevice的iOS系統,其App都需要經過Apple授權認證後才能安裝使用,因此第三方的鑑識軟體就無法安裝到iDevice來進行數位跡證的萃取。

行動裝置鑑識方法大致分為三類:邏輯萃取、實體萃取以及拆開設備。邏輯萃取是目前能被執法機關所接受的鑑識方法,它的鑑識方法有兩種,一是鑑識工具,如XRY、Universal Forensic Extraction Device(UFED),第二是iTunes Backup(備份檔),此一方法所萃取出的資料是依照檔案系統的邏輯儲存架構,所以無法透過邏輯萃取的方式來還原已遭到使用者刪除的資料。

假如鑑識人員要將刪除的資料萃取出來,則需要透過實體萃取及拆開設備的方式來達成,兩者皆可對行動裝置內的實體檔案狀態進行Bit-by-Bit的複製及備份,但前者的鑑識方法必須先經過越獄的預處理,所謂的越獄即是取得iDevice最高權限的程序,後者拆開設備,如使用JTAG(Joint Test Action Group)以探針方式對行動裝置進行Flash Memory Dump。

雖然這兩種方法可以完整地萃取出檔案,但因為在萃取數位證據的過程中,有存取及破壞到數位跡證的可能性,而不被執法機關所採納。

從上述的內容可以了解到,若要保全數位證據的證據力,目前能被接受的鑑識方法是邏輯萃取。但是,其中的鑑識工具會因為系統更新或是設備更換,而產生無法支援的問題。

因此,採用iTunes Backup的鑑識方法是較為適當的,透過分析iDevice備份檔來查看使用者在社交App上所進行的活動。

社交App數位跡證

如圖5所示,當iDevice連接iTunes時,iTunes就會自動備份,產生一份備份檔儲存在電腦內。所以當鑑識人員遇到iDevice被破壞的情況時,就可透過解析電腦中iDevice備份檔,萃取出重要的關鍵跡證。


▲圖5 iTunes的備份作業。

本文選擇LINE(3.7.0版)、WeChat(4.5.1版)、KakaoTalk(3.7.2版)為通訊軟體,安裝在iOS版本為6.1.3的iDevice(iPhone、iPad 2、iPod touch)上並模擬社交App使用者的通訊活動。

如表1所示,在確定備份檔的位置後,即透過iTools來查看iTunes備份檔的內容,而iTools的功能讓使用者可以直覺化管理iDevice,以模擬裝置連結的方式進行管理備份檔案。

表1 iTunes備份檔案儲存路徑 


接著介紹iDevice(iPhone、iPad 2 、iPod touch)備份檔中社交App的訊息跡證。以下分別說明LINE、WeChat、KakaoTalk三個App各自的對應方法。

LINE 
先說明iPhone的部分。以圖片及影音來說,在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments/」路徑下會發現一個資料夾,名為「/u12076474020f65a314c04a05e9ab1c4b」。在這個資料夾下,有.mp4檔案格式的聲音檔、.jpg檔案格式的圖片,皆是對話過程中所傳送的訊息。

而對話紀錄,到「/var/mobile/Applications/jp.naver.line/Documents」路徑下,就可看到以talk命名的sqlite檔,可以使用sqlitebrowser將其打開。sqlitebrowser是可以查看sqlite檔內容的檢視器。

talk.sqlite儲存了許多對話表格,每一個表格內皆儲存不同的資料,分別說明如下:

.ZCHAT、Z_1MEMBERS 
使用者在LINE中所開啟的對話視窗會被記錄至ZCHAT表格內,而對話者的資訊是記錄在Z_1MEMBERS中。

如圖6所示,表格Z_1MEMBERS內欄位Z_1CHATS的數值,說明了對話者在哪個對話視窗進行活動,如Z-1CHATS的值是2,對照表格ZCHAT的Z_PK值,就知道對話者是在第2個對話視窗內與大家進行對話。知道這樣關係後,就明白對話視窗內有哪些對話者參與其中。


▲圖6 Z_1MEMBERS與ZCHAT的表格內容。

.ZGROUP、Z_3MEMBERS 
在LINE的通訊功能中,使用者可設立對話群組,如研究所討論群組、籃球討論群組,在這個群組內的人就可以在同一對話視窗中進行討論。表格ZGROUP則記錄使用者加入了哪些群組,而表格Z_3MEMBERS說明此群組內有幾名的組員及其個人資訊,如圖7所示。


▲圖7 ZGROUP與Z_3MEMBERS的表格內容。

.ZUSER
LINE在社群交友方面擁有很好的能力,當用戶註冊為LINE的使用者時,它會自動地搜尋使用者電話簿內有誰也正在使用LINE,並列出供使用者參考,而表格ZUSER便是記錄這些內容。

.ZMESSAGE 
如圖8所示,在對話過程中,會有發話者、對話時間、對話的類型(視訊、語音對講)及對話內容,這些紀錄資訊皆在ZMESSAGE內。紀錄的時間值中,LINE則是屬於13位的UNIX時間格式,經時間公式轉換後就能知道對話訊息是何時傳送,如圖9所示。


▲圖8 ZMESSAGE的表格內容。


▲圖9 LINE的時間格式轉換說明。

欄位ZCHAT數值代表訊息是在哪一個對話視窗傳送,而ZSENDER和ZMESSAGETYPE則說明訊息是由誰發出及接受。欄位ZTEXT則是使用者對話的內容,「影音」、「聲音訊息」或「圖片」則是對話過程中傳送的媒體檔案。圖片及聲音訊息會被儲存在設備內,但影片部分若使用者無主動選擇儲存,則LINE不會主動下載儲存。

至於使用者資料,在「/var/mobile/Applications/jp.naver.line/Library/Preferences/」下的jp.naver.line.plist檔案,經plist Editor檢視後,可以搜尋出使用者在LINE中所使用的ID帳號及註冊時所用的電話號碼。

若使用的iDevice為iPad 2或iPod touch,則與iPhone相同,在iPad 2及iPod touch上安裝同樣的版本LINE及操作相同的步驟時,並未發現LINE的對話紀錄、媒體檔案有何差異。

WeChat 
先說明iPhone的部分。就以圖片與影音而言,在「 /var/mobile/Applications/com.tencent.xin/Documents/」路徑下有以Hash值命名的資料夾,如圖10所示,這些資料夾內分別存放了使用者通訊時所傳送的影片、圖片及音訊。WeChat的語音是屬於.aud的聲音格式,影片為.mp4格式,圖片則是JFIF格式。


▲圖10 WeChat備份檔中Audio、Video及Img的紀錄情形。

至於對話紀錄,在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」路徑下的MM.sqlite,則是記錄用戶通訊紀錄的資料庫,分別說明如下:

.Friend_Ext與Friend 
表格Friend列出使用者在WeChat上的朋友清單,而Friend_Ext則更詳細說明了使用者社群朋友的個人資訊,如WeChat註冊的ID、居住地及暱稱。

.sqlite_sequence 
使用者在WeChat中與誰對話,及對話了幾則訊息,都清楚地被記錄至此表格內。

.以Chat_開頭的表格 
WeChat會為每一位對話者產生表格,且表格名稱是WeChat依個人去做命名,所以每個對話視窗都有屬於自己的表格紀錄。特別的是,在群組對話中屬於群組的表格,只會記錄使用者在WeChat上所發表過的文字,其他人所傳送的訊息不會再記錄。在圖11中,MM.sqlite的MesSvrID顯示了兩人對話的順序,但可以發現此順序並不連貫。

這是因為同時間內,如果對話者不只一位的話,MesSvrID的順序會依著前一位對話者的MesSvrID延續下去,而不是再額外產生MesSvrID。Status顯示出不同對話者的代號,可辨別訊息是由誰發出,如數值2則代表是使用者所發,而數值4則是對方。

從欄位Message中也可以看出訊息的類別,如果是文字訊息將以明文顯示、訊息語音則顯示、圖片則顯示等。而WeChat的通訊時間是屬於10位UNIX的時間格式。


▲圖11 在MM.sqlite中,兩人的對話紀錄。

至於使用者資料,以plist Editor打開「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/」路徑下的mmsetting.archive,便可以找到使用者在WeChat中所使用的ID帳號及註冊的手機號碼。

若使用的是iPad 2、iPod touch,在iPad 2及iPod touch上安裝與iPhone同樣版本的WeChat時,其操作步驟完全相同。

KakaoTalk 
如果使用的是iPhone,KaokoTalk並不會將使用者通訊時所傳輸的照片、影片、音訊檔儲存在iTunes備份檔內。

至於對話紀錄,在「/var/mobile/Applications/com.iwilab.KakaoTalk/Library/PrivateDocuments」路徑下可以發現副檔名為sqlite資料檔案,可使用sqlitebrowser開啟Talk.sqlite,其內容為使用者在KakaoTalk上的對話,相關檔案說明如下:

˙ ZCHAT與Z-1MEMBERS 
表格ZCHAT記錄使用者在KakaoTalk上開設了幾個對話視窗,而這些對話視窗皆有一組唯一的ID值。表格Z_1MEMBERS則說明每個對話視窗中有哪些對話者。

˙ ZUSER 
表格ZUSER中記錄了使用者KaKaoTalk社群的資訊。在表格資訊中,明白地指出與使用者進行對話的朋友是在哪個對話視窗及使用什麼ID與暱稱,這樣的好處是能夠明白使用者在KaKaoTalk上的交友狀態。

˙ ZMESSAGE 
使用者在KakaoTalk上進行的對話會記錄在表格ZMESSAGE內,有文字訊息、語音、地理位置。如圖12所示,欄位Z_ENT的數值在表格中Z_PRIMARYKEY可以找到說明,例如Z_ENT值為33,即代表文字訊息,數值29即是相片。

比較特別的是,音訊檔及影片檔可以透過KakaoTalk的伺服端下載和觀看,而這些檔案的網址會顯示在ZMESSAGE中,關於這一點,KakaoTalk與LINE和WeChat將檔案儲存於備份檔的做法有所不同,它是將檔案存放在遠端的空間內。


▲圖12 KakaoTalk中訊息的代號。

而使用者資料,以plist Editor檢視「/var/mobile/Applications/com.iwilab.KakaoTalk/Library/Preferences/」路徑下的com.iwilab.KakaoTalk.plist檔,可以搜尋到使用者註冊的電話號碼。

如果使用的是iPad 2及iPod touch,那麼安裝與iPhone相同版本的KakaoTalk及操作相同的步驟時,其對話紀錄、媒體檔案都是一樣的。

從上述的結果中,可以得知各社交App處理媒體檔案、對話紀錄及使用者訊息皆有不同。LINE在媒體檔案中,只有對方所傳送的影音檔才會由iTunes備份至電腦中,而自己所傳送的影音則會儲存在設備內,不會經由iTunes備份至電腦。

WeChat的影音檔則會由iTunes備份至電腦中,另外需要進一步說明的是,WeChat的訊息紀錄MM.sqlite資料庫中以Chat_開頭後接一串Hash值命名的表格名稱,同樣用於語音檔及圖片檔的資料夾命名,知道這樣的命名規則後,可幫助鑑識人員在蒐集數位跡證時 明瞭訊息是由誰產生,進而還原對話的歷史過程。

KakaoTalk的iTunes備份檔中不會儲存傳輸時的影音檔及相片,不過從Talk.sqlite中的表格ZMESSAGE發現,在傳輸影音相關檔案時,KakaoTalk會產生一則網址訊息,透過瀏覽器輸入這一段網址後,KakaoTalk伺服端會自動撥放通訊時的影音檔案。

這些影音檔及紀錄檔在iTunes備份檔內是沒有副檔名,所以若要正確地開啟這些檔案就必須確認檔案格式,透過16進位編輯器WinHex打開iTunes的備份檔後,會發現開啟的檔案中,表頭將帶有檔名特徵的字串。這些字串就是檔案的格式,這裡將其整理成表2。

表2 iTunes備份檔的特徵字串


最後,社交App備份檔在iDevice間並沒有差異,對話記錄的方式、儲存圖檔與語音檔路徑都是一樣。所以當鑑識人員在未知iTunes備份檔是由iPhone、iPad 2或iPod touch所產生的情況下,都可以用同樣的鑑識步驟來萃取數位跡證。

實例演練 

使用iPhone通訊的A君,利用WeChat通訊功能來散播暗示性的販毒消息。如圖13所示,A君透過WeChat的交友功能「附近的人」,將販毒暗語寫入個性簽名中,吸引同樣使用WeChat通訊B君的注意。見此「販毒暗語」的B君即進一步使用WeChat傳遞訊息給A君,表達購買的意願。

而更早之前,執法人員已獲得A君進行多宗毒品交易的消息,遂前往A君住處進行搜索。在A君的住處,當執法人員要進行搜尋時,卻遭A君強烈的阻撓,並將一台iPhone、iPad 2摔壞。執法人員見A君破壞東西的行為,便懷疑A君有銷毀犯罪跡證的用心,避免被掌握到犯罪跡證。在執法人員質詢A君時,A君卻聲稱,自己並無販賣毒品的意圖,摔東西只是因為心情不好。


▲圖13 A君利用WeChat散播販毒的訊息。

在無直接證據下,相關人員即扣押現場被摔壞的iPhone、iPad 2及一台關機的電腦,並交給鑑識人員做進一步的分析。在iPhone與iPad 2被損毀的情況下,鑑識人員即從電腦著手。面對電腦關機狀態,鑑識人員為保全數位證據的證據力,得需要按部就班去分析,謹慎地完成鑑識工作。這裡以三個部分內容說明鑑識的過程:

證據保存,確認電腦狀態 

A君的電腦處於關機狀態,所以鑑識人員可直接對硬碟進行位元流製作映像檔備份。這樣的備份工作能將電腦的狀態完整複製,包含刪除的檔案。備份結束後的鑑識工作,亦即使用硬碟映像檔進行資料分析而不更改原本的資料。

數位證據的調查 

從A君毀損iPhone、iPad 2的動作觀察,鑑識人員初步判斷A君應該是在iPhone、iPad 2中從事犯罪行為。從此點著手,鑑識人員就以iTunes備份檔進行鑑識,而A君所使用的電腦作業系統為32位元的Windows 7家用版。在確認iTunes備份檔路徑後,鑑識人員以iTools開啟iTunes備份檔。

從iTools中,鑑識人員發現A君有使用社交App的習慣,在iPhone及iPad 2上,A君皆安裝WeChat、LINE,於是鑑識人員便著手搜尋iTunes備份檔內WeChat及LINE的對話紀錄。

發現犯罪訊息,還原事件 

iTunes備份檔存有A君在iPhone、iPad 2上所進行活動的紀錄,因此鑑識人員分為兩部分來鑑識:

WeChat在iPhone上的紀錄 

經由iTunes產生的備份檔是沒有檔案格式的顯示,所以為確定檔案格式,鑑識人員即透過WinHex打開iTunes備份檔,其中檔名為72d86cadc845426a1ea134c793bcb400772a56fb的備份檔,其標頭字串為SQLite format 3,是資料庫檔。

因此,鑑識人員透過SQLite Browser打開此備份檔,發現這個sqlite資料檔儲存了A君與人毒品交易的對話紀錄。與「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」下的MM.sqlite內容,是屬於同一個資料庫。

如圖14所示,MM.sqlite記錄A君與B君交易毒品的訊息。在訊息中,欄位CreateTime是屬於10位的UNIX時間格式,於是鑑識人員確定時間格式後,便透過Excel進行時間的解譯,如圖15所示。而欄位Meesage中A君也向B君傳送交貨地點的GPS,因此從解譯的時間及訊息欄中,鑑識人員就能夠清楚地掌握A君與B君交易時間及地點。


▲圖14 WeChat的表格MM.sqlite,記錄A君與B君的對話紀錄。


▲圖15 A君與B君的通訊時間。

LINE在iPad 2上的紀錄 

在iTunes備份檔中,有一檔名為534a7099b474f4fb3f2cd006f8e59578d58fb44a,與WeChat相同,以WinHex打開後,在標頭字串中發現有SQLite format 3的字串,鑑識人員以SQLite Browser開啟檔案,發現這是A君的對話紀錄檔。

表格ZUSER記錄了A君在LINE的交友狀態,其中暱稱為「豪雨快報」的C君引起鑑識人員的注意,認為這是販毒集團所使用暗語。

如圖16所示,表格ZMESSAGE記錄A君與C君在進行製毒和販毒的對話內容。而這一份對話紀錄檔,與iTools路徑「/var/mobile/Applications/jp.naver.line/Documents/」下的talk.sqlite所記錄的內容,是屬於同一樣的紀錄。


▲圖16 LINE表格ZMESSGAE,記錄A君與C君的對話紀錄。

而欄位ZTIMESTAMP是A君與C君對話時間的紀錄,是13位的UNIX時間格式。經Excel轉換後,A君與C君的對話時間即被鑑識人員清楚地知悉了。

在社交App的販毒案例中,A君雖然破壞了iPhone與iPad 2,使鑑識人員無法直接從iDevice上萃取資料。但因iTunes的自動備份設定,讓iDevice內的社交App通訊訊息經由iTunes備份作業儲存至電腦中。

鑑識人員從iTunes備份檔中萃取出A君與B君在進行毒品交易的對話紀錄,也從對話紀錄中意外發現另一名提供A君毒品的犯罪者C君。雖然A君宣稱自己無販毒的意圖,但從社交App的數位跡證中,鑑識人員證明了A君的確利用社交App進行毒品交易的可能性,並企圖獲取不法利益。

結語

智慧型行動裝置的普及化及行動網路逐漸的發展,讓使用者擺脫了地點及時間限制,可以隨性地透過智慧型行動裝置來上網,並且取得相關的資訊服務。其中智慧型行動裝置上社交App的設計,更是受到大家的喜愛。

LINE、WeChat及KakaoTalk在推出不久後,其註冊人數就已經上億。它們優秀的通訊功能讓通訊活動變得便利,但水可載舟亦可覆舟,在使用iDevice習慣下的非法人士,也透過社交App來散布犯罪訊息,如詐騙訊息、販毒暗語、色情圖片。

面對這樣的通訊犯罪,萃取出iDevice上的社交App紀錄就變得重要,因為通訊紀錄是證明非法人士有罪或無罪的依據,透過iTunes的鑑識方法,鑑識人員可以成功萃取出iDevice內的社交App紀錄,經解讀社交App各項紀錄表格後,即能還原非法者的活動過程。

〈本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。〉

轉載自《網管人》