社交App(Social Networking App)是在App商店中被大家搜尋下載的熱門軟體。隨著行動網路的發展,已越來越多人選擇使用社交App來進行通訊,然而在資訊分享變得方便之餘,但卻有非法人士利用通訊軟體來進行非法活動,將通訊軟體作為犯罪訊息的傳遞工具,因此當有通訊犯罪的情事發生時,其通訊紀錄就會成為重要的數位跡證。
另外,除了電話註冊外,也有其他註冊方式供使用者選擇,例如可以將既有的Facebook和Twitter帳號申請註冊,不用再耗費心力去想一個新的帳號。
3. 加入朋友
社交App是一種社群的概念,單一個人是無法進行對話。所以在社群交友方面,社交App設計出一套方法讓使用者方便地建立起屬於自己的社群,以下就來介紹社交App是如何設計出一套完整的交友模式,包括ID方式和以位置資訊加入朋友。
先說明ID方式的部分。社交App(LINE、WeChat、KakaoTalk)在新增朋友的功能中,除了一般透過帳戶ID將朋友加入通訊錄外,還有其他快速搜尋…自動加入朋友的選項,譬如掃描QR Code、自動搜尋手機通訊錄。
如圖3所示,QR Code是二維條碼的一種,社交App利用QR Code能夠儲存訊息的特性,將使用者個人的訊息放入QR Code內,當QR Code經掃描器讀取後,他人就能獲取其中的訊息並且加入朋友。
 |
| ▲圖3 WeChat的個人QR Code名片。 |
因此,若將這一組QR Code透過Facebook分享出去,當有人想把你加入Social Networking時,只要藉由掃描QR Code就可以完成。而手機通訊錄則是當使用者成功註冊登入時,社交App就會自動配對與你同時使用相同通訊軟體的朋友,這樣可省去不少的步驟和時間。
接著,介紹如何以位置資訊加入朋友。地理資訊也可以成為交友的資訊,社交App將會以使用者的位置為中心,偵測附近同樣使用相同通訊軟體的使用者,例如App某項交友功能「搖一搖」,當雙方在附近同時間搖動手機時,通訊軟體就會抓取對方的資訊並顯示加入朋友的選項鍵。
而範圍更大的,如圖4所示,WeChat是以清單方式列出其他使用者的暱稱、大頭照、個人簽名及與使用者相距的距離,LINE、KakaoTalk則沒有這樣的功能服務。
 |
| ▲圖4 WeChat搜尋朋友的功能。 |
4. 提供多樣化的通訊方式
除了強調社群交往的功能外,社交App也在對話溝通上加入很豐富的內容,如動畫圖案、媒體檔案、視訊通話等等。值得一提的是,WeChat 4.5版推出的「即時對講」功能,對話的人只要按住對講鈕,聲音就會自動地送出,不同於語音訊息,它不需要先把聲音錄製好才能發送。
行動裝置的鑑識方法
針對行動裝置的鑑識步驟,為保護行動裝置內數位跡證的完整性,必須定義出一套標準流程,包括鑑識目的的確認、鑑識的方法、鑑識的內容及證據的呈現,每個階段都有需要確認的內容。
之所以會有這樣的鑑識流程,無非是行動裝置比起電腦,其所儲存的資料更有隱私及生活化,因為使用者會隨手攜帶著行動裝置,但不會隨手拿著電腦撥打電話或照相。
在這樣的現象下,如果要獲取行動裝置內的訊息,相對於電腦將繁雜許多,因為數位跡證的萃取需要有制度,且行動裝置上的系統也不像電腦系統,它屬於封閉的系統環境,例如iDevice的iOS系統,其App都需要經過Apple授權認證後才能安裝使用,因此第三方的鑑識軟體就無法安裝到iDevice來進行數位跡證的萃取。
行動裝置鑑識方法大致分為三類:邏輯萃取、實體萃取以及拆開設備。邏輯萃取是目前能被執法機關所接受的鑑識方法,它的鑑識方法有兩種,一是鑑識工具,如XRY、Universal Forensic Extraction Device(UFED),第二是iTunes Backup(備份檔),此一方法所萃取出的資料是依照檔案系統的邏輯儲存架構,所以無法透過邏輯萃取的方式來還原已遭到使用者刪除的資料。
假如鑑識人員要將刪除的資料萃取出來,則需要透過實體萃取及拆開設備的方式來達成,兩者皆可對行動裝置內的實體檔案狀態進行Bit-by-Bit的複製及備份,但前者的鑑識方法必須先經過越獄的預處理,所謂的越獄即是取得iDevice最高權限的程序,後者拆開設備,如使用JTAG(Joint Test Action Group)以探針方式對行動裝置進行Flash Memory Dump。
雖然這兩種方法可以完整地萃取出檔案,但因為在萃取數位證據的過程中,有存取及破壞到數位跡證的可能性,而不被執法機關所採納。
從上述的內容可以了解到,若要保全數位證據的證據力,目前能被接受的鑑識方法是邏輯萃取。但是,其中的鑑識工具會因為系統更新或是設備更換,而產生無法支援的問題。
因此,採用iTunes Backup的鑑識方法是較為適當的,透過分析iDevice備份檔來查看使用者在社交App上所進行的活動。
社交App數位跡證
如圖5所示,當iDevice連接iTunes時,iTunes就會自動備份,產生一份備份檔儲存在電腦內。所以當鑑識人員遇到iDevice被破壞的情況時,就可透過解析電腦中iDevice備份檔,萃取出重要的關鍵跡證。
 |
| ▲圖5 iTunes的備份作業。 |
本文選擇LINE(3.7.0版)、WeChat(4.5.1版)、KakaoTalk(3.7.2版)為通訊軟體,安裝在iOS版本為6.1.3的iDevice(iPhone、iPad 2、iPod touch)上並模擬社交App使用者的通訊活動。