本文將介紹如何從iPhone中萃取個人地理資訊的方法,並以iPhone內的數位證據在保管過程中遭到惡意刪除作為案例,說明個人地理資訊對於調查案情的需要性,也清楚印證證物管理鏈為數位鑑識人員處理數位證據之重要遵循原則。
經第二次的Digest確認,發現兩次Digest並不相同,且與第一次的地理資訊呈現結果交互比對,發現台中地區的地理資訊已全然不見,如圖14所示,使得小明起疑,懷疑有內部人員破壞原始證據。
 |
| ▲圖14 台中地區地理資訊已全然不見。 |
另一方面,小明的線民舉報毒販小哲經常在台中地區進行大量毒品交易,經過抽絲剝繭調查之後,發現毒販小哲不僅從事毒品交易,更發現他在台中擁有多處毒品工廠,也進一步證明為何毒販小哲在台中會有這麼多的地理資訊紀錄。
由於原始證據已遭破壞,相關人員開始展開調查,經調閱證據室的監視器影像,發現小張曾經接觸該手機,懷疑小張即為那破壞數位證據的內部人員,經進一步調查訊問下,小張便承認他接受毒販小哲的賄賂,協助刪掉手機內的相片,破壞原始證據,企圖影響數位鑑識結果,最後小張即遭函送法辦。
結語
在這依賴智慧行動裝置的時代,智慧型手機已經成為許多人隨身攜帶的物品,其中手機定位的功能提供諸多的服務,但也在裝置內留下個人地理資訊,而成為法庭上的證據。然而,因為數位證據具有極易修改的特性,可能因為一個小動作便對數位證據的證據能力產生極大影響。
本文從iPhone中萃取個人地理資訊,並以iPhone內的數位證據在保管過程中的追蹤,說明證物管理鏈為數位鑑識人員處理數位證據之重要指導原則。故執法單位在處理數位證據時,必須遵守證物管理鏈所規定的事項,對於數位證據可用Hash函數進行辨識比對有無遭到更改,以確保證據在法庭上的公信力。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>