智慧型手機中資料的安全及隨之而生的犯罪逐漸受到重視,因此相關的防毒軟體和病毒檢測軟體之開發及運用,在未來一定會有長足的發展,有鑑於此,本文將對便於取得之手機封包擷取軟體進行比較,找出其中何者功能最優秀操作較方便。
近來通訊軟體詐騙或手機資訊洩漏頻頻發生,由於網際網路的匿名性,要抓到真正藏於幕後的兇手相當困難。隨著智慧型手機的推出與普及,與智慧型手機相關的犯罪應運而生,不論是重要資料的盜竊,或利用通訊軟體進行的詐騙都相當嚴重。雖然智慧型手機鑑識與網路鑑識相類似,但還是有些許差異,因此其相關的運用仍須熟識。
圖1 知名企業Seahawk遭到中間人攻擊及ARP欺騙導致營業秘密外洩。(資料來源:http://www.netadmin.com.tw/article_content.aspx?sn=1711010007&jump=1)
圖2 罪犯利用通訊軟體進行詐騙。
在層出不窮的網路犯罪之下,要找出幕後黑手非常困難,如圖1~2所示,但藉由網路封包檢測,犯人將無所遁形、難逃法網,得以知道何者為一般封包,何者為惡意封包,藉由封包標頭內的來源位置找出藏於幕後的犯人,因此檢測網路封包的能力就變得相當重要,對資訊安全人員來說,網路封包檢測是相當基礎的能力,也是必須擁有的技能。
背景知識說明
以下先針對手機通訊軟體封包做概論說明,接著介紹與其相關的軟體工具,最後則為手機App檢測作為探索。
何謂「封包」
本文主題是將手機封包後進行檢測,不過到底甚麼叫做封包?封包是由用戶數據和管理資訊組成,網路將數據傳遞到目標。類似於從郵局發送的包裹上註明的地址一樣,只有提供給網路這些資訊,網路(郵局)才能把封包(包裹)往正確的地址傳送,所以要檢測前,將所有要檢測的應用程式封包起來,使用者就可以看見很多有關於傳輸方的許多資訊。
智慧型手機軟體封包之工具及技術
近來網路上已有多種軟體封包程式,本文以Packet Capture、Packet Sniffer Capture、tPacketCapture這三種來做介紹與比較,以下為其介紹:
Packet Capture易於使用,支援各種常見的格式,擁有擷取單一應用程式封包的功能,而且封包詳細資訊中的TEXT和HEX轉換能就單一封包進行轉換,在使用上也能將封包後的資訊直接於應用程式中檢閱,如圖3所示。
圖3 Packet Capture操作介面。
Packet Sniffer Capture操作方式與前者相似,也支援各種常見的格式,但只能將應用程式一次封包,沒有單一擷取的功能,如圖4所示。
圖4 Packet Sniffer Capture操作介面。
tPacketCapture操作介面與前兩者不同,然而封包程式出來後的資訊也需要再開啟其他的應用程式,才能夠查看檔案資訊,如圖5所示。
圖5 tPacketCapture操作介面。
表1以Packet Capture、Packet Sniffer Capture、tPacketCapture來做比較,說明三種不同應用程式的差異性。
經過表1比較後,本文決定使用Packet Capture作為實驗工具,使用者更能夠清楚了解查詢方向,有效地減少搜尋時間。
Packet Capture實際操作
接著,示範如何執行Packet Capture進行應用程式封包程序,以及擷取單一應用程式封包的功能。
進行應用程式封包程序
在琳琅滿目的手機封包工具中,這裡選擇操作簡易、執行快速的Packet Capture來對應用程式封包,先點擊一下右上角的播放鈕,如圖6所示。
圖6 點擊播放鈕。
點擊後,手機裡的應用程式將會開始封包,如圖7所示,目前的操作是不特別指定應用程式封包。
圖7 開始進行封包擷取。
接下來,即可進入觀看封包後的應用程式,所有的資訊都在裡面,如圖8所示,常用的通訊軟體以及手機程式也會全部顯示出來。再來就能看到每筆資訊,如圖9~10所示,封包資料得以TEXT方式與HEX方式呈現,可以說是相當便利。
圖8 檢視封包中的應用程式。
圖9 封包資料以TEXT方式呈現。
圖10 封包資料以HEX方式呈現。
擷取單一應用程式封包的功能
此手機封包程式有個方便的功能,就是可以點選單一應用程式作為封包。點擊右上角播放鈕裡含數字1的圖示,能夠更便利地找尋到想要的資料,如圖11所示。
圖11 顯示單一查詢後的結果。
實例情境演練
台安公司營業部主管甲因日常業務繁雜且難以處理而感到困擾,假日上網時發現有一個新的應用程式A對於處理他的日常業務有幫助,於是將其載於智慧型手機中,之後也覺得使用起來相當方便,時常利用其處理日常業務。 數月後,公司之競爭對手不知為何於商案洽談及商品開發方面處處取得優勢,不但搶先宣布最新的商品,於競標時也都以些微的差距勝過公司原定之競標價格,董事長乙原以為只是巧合,故未積極處理,但隨著公司虧損越來越大,董事長乙開始覺得是有人刻意所為,為維護公司利益,決定請網路維護部門處理。
調查人員懷疑是營業部職員洩漏公司內部的商業資訊,用以換取自身利益,但經過調查營業部職員及其電腦後,並未找到相關的證據,正當搜尋未果而案情難以進展時,調查人員想起最近學習使用的智慧型手機封包擷取應用程式,於是利用此應用程式調查所有營業部職員的手機封包,發現營業部主管甲的某應用程式A一直送出怪異的封包。經過調查之下,找出接收怪異封包的IP地址,如圖12所示,循線找出一直利用應用程式A來竊取他人個資,用以換取金錢的詐欺者。
圖12 封包裡許多資料都是逮捕犯人的重要資訊。
結語
智慧型手機發展至今,已經衍生出相當多的功能,不但能在手機使用Word、PPT、Excel、上網查資料及下載檔案,因應通訊軟體的誕生,人們的通訊方式也有了極大的轉變。在不遠的未來,智慧型手機不但能做到大部分電腦能做到的事,還能進一步發展出其他更方便、更有用的功能,因為智慧型手機的普及,越來越多人用來儲存重要資料,一旦其中的資料遺失或遭到竊取將會造成重大的損失。相應於智慧型手機的快速發展,非法份子開始將目光移向這塊新興領域,開始著手研究新型態的犯罪手法,藉由智慧型手機通訊軟體的詐騙、用手機鏡頭偷拍後進行勒索或竊取手機資訊的事件也層出不窮,為抓到藏匿於幕後的犯人,智慧型手機的相關鑑識技術也應該開始發展且必須受到重視。
<本文作者:台灣E化資安分析管理協會(ESAM, http://esam.nctu.me/esam/) 2018年創立,從事E化資訊安全的分析管理與學術研究,並與政府、產學及國際資安機構交流與合作,推廣資訊安全應用與發展,協助企業、產業評估資安分析與風險為宗旨/亞東技術學院Multimedia Processing and Security LAB(MPS Lab)2016年創立,由黃正達老師率領成員們致力數位多媒體應用與研究,其領域包含但不限於影像處理、醫學影像、多媒體安全、數據分析。>