本文將介紹如何從iPhone中萃取個人地理資訊的方法,並以iPhone內的數位證據在保管過程中遭到惡意刪除作為案例,說明個人地理資訊對於調查案情的需要性,也清楚印證證物管理鏈為數位鑑識人員處理數位證據之重要遵循原則。
此種萃取方法可以將需要鑑識之裝置的內部照片一次性地投射,對於擁有許多照片的數位裝置,特別適用此種鑑識方法,無須耗時將照片中的地理資訊逐一對應至Google地圖上。
Hash函數
資訊安全系統有一重要演算法為Hash函數,其主要特色為單向函數(One-Way Function),且無論輸入訊息的長度為何,一旦經過Hash函數運算後,可得一簡短且固定長度之位元輸出,稱為Digest。其中輸出結果的Digest無法反向還原成原先輸入之訊息。若兩個檔案經Hash函數運算後,可得到相同之Digest,則可確定兩檔案內容必然相同;相反地,若兩者的Digest不相同,則兩者的原始輸入必定不相同。
因此當有需要比對不同檔案之間是否相同,則利用Hash函數的特性進行Digest比對即可,而不需要一一檢視檔案內容。換言之,利用Hash函數的特色,驗證傳送訊息的正確性,得知訊息傳送過程中是否遭受竄改,達到傳遞訊息符合機密性之要求。下列兩種為常用的Hash函數:
‧ MD5:屬於Hash函數的一種,MD5的特性乃是可輸入一個任意長度的訊息,MD5運算處理後會輸出一個長度為128位元的Digest。
‧ SHA-1:SHA-1的設計輸出是一個160位元的Digest。因為SHA-1所產生的Digest長度為160位元,安全程度稍高於MD5的使用。
實例演練
話說毒品犯小哲為台灣第一大毒梟,在台中擁有自己的毒品工廠,交易毒品數量十分龐大,並獲取巨額暴利,故在自身家鄉嘉義購買了獨棟豪宅作為平常休息之用,也時常在台灣各地遊玩,並在Facebook上打卡炫耀,因而引起調查員小明與小張的注意。
根據線民的通報與長期埋伏對毒品犯小哲行動的了解,調查員小明推測10月20日晚間,小哲目前應處於嘉義家中,並決定於該日晚上九點半進行攻堅與搜索。
2016/10/20 21:30調查員小明與其同仁小張共同搜索小哲家,而在其家中發現大量安非他命,並扣押小哲的行動裝置iPhone 6s,嘗試在該裝置中找到更多的販毒證據。2016/10/21 15:00小明則於辦公室內進行下列的分析:
首先將其行動裝置運用iTunes進行備份。
在該時間取得之備份檔進行Hash中的Digest驗證,可得Digest「42cffa91bd52c149f0078e2c1413df4a」,如圖9所示。
 |
| ▲圖9 iHash中的Digest畫面。 |
開啟電腦中的iPhone Backup Extractor,點擊【File】功能表中【Convert location data DB to KML】選項,即可將備份檔中有關於位置的相關資訊轉成KML檔,並輸出於桌面上。如圖10所示。
 |
| ▲圖10 將備份檔中Location DATA轉成KML檔。 |
開啟Google地圖,並點開左上角的選單,從下列項目中選取「我的地圖」,並按下「建立地圖」,將桌面上KML檔匯入至Google地圖中,即可顯示出如圖11所示的畫面。
 |
| ▲圖11 第一次萃取所得地理資訊。 |
由圖11的GPS資料判讀可知,毒品販小哲時常至台灣遊玩並拍照打卡,間接地在自身手機照片中留下許多GPS位置。但在仔細檢視下,發現在台中的GPS資料亦相當多筆,便引起小明的好奇。
接著2016/10/22 14:00因毒品販小哲與調查員小張為高中舊識,故在訊問過程中,買通小張幫忙刪掉小哲手機中的毒品工廠照片,避免其他調查員找到更多犯罪資料。2016/10/22 18:00小明再次於電腦中進行分析,並進行下列動作:
首先將其行動裝置運用iTunes進行備份。
該備份檔案的Digest為「70f6c501c7e59476ecf6e54cc7e03d5f」,並與前次萃取出來的Digest相互比較,確認證據是否相同,然而,卻發現與原本Digest「42cffa91bd52c149f0078e2c1413df4a」並不相同,如圖12所示。
 |
| ▲圖12 在iHash中比較Digest畫面。 |
小明再次開啟iPhone Backup Extractor,將本次備份檔中的地理資訊匯出成KML檔,並將其匯入Google地圖內,即可在畫面上顯示出如圖13所示的畫面。
 |
| ▲圖13 第二次萃取所得地理資訊。 |