本文針對行動裝置圖形鎖(Pattern Lock)提出鑑識方法,當非法人士以圖形鎖方式防止鑑識人員對行動裝置存取數位跡證時,仍有辦法解開Android圖形鎖,蒐集行動裝置內的數位跡證。
首先,執行cd指令將目錄指向Nexus 7行動裝置內「/data/system」路徑下,然後使用ls指令列出該目錄下所有檔案。
待找出gesture.key後,再執行rm指令命令ADB工具將圖形鎖紀錄移除,使圖形鎖功用失效。
解開圖形鎖
與前述流程大致相同,惟進入「/data/system」路徑後,使用pull指令將gesture.key傳輸至電腦端。利用鑑識程式,讓gesture.key內的保護鎖SHA-1編碼與SHA-1字典進行比對。如圖5所示,結果輸出後,可以得知使用者所設定的圖形鎖軌跡。
 |
| ▲圖5 利用SHA-1字典比對,獲得圖形鎖軌跡圖。 |
情境與鑑識
擺脫傳統的犯罪模式,調查人員掌握到某一犯罪集團利用行動裝置的方便性,透過社群軟體LINE進行販毒活動。在未充份掌握情資下,調查人員前往該集團住屋處進行搜索,共獲得8支智慧型手機,除此之外並無相關可疑資料。
遭搜索的智慧型手機皆被以圖形鎖方式上鎖,而且嫌疑人不願告知解鎖資訊,為證實該集團販毒活動,調查人員遂將此8支智慧型手機交予鑑識人員,期能透過鑑識方法獲取圖形鎖解鎖軌跡。
凍結存取,執行映像檔備份
鑑識人員取得智慧型手機後,就發現8支手機皆為開機且上鎖的狀態,為避免存取手機而影響數位跡證的證據力,即凍結手機存取並進行Bit-by-Bit映像檔備份。
解譯圖形鎖
利用映像檔備份,鑑識人員將其匯出至擁有最高權限的同款手機中,並將路徑「data/system」下記錄圖形鎖的gesture.key檔輸出至電腦端,接著著手進行SHA-1字典比對,經比對後,鑑識人員分別得到8支手機的圖形鎖。
解譯圖形鎖解譯圖形鎖
成功地取得圖形鎖並解鎖後,鑑識人員透過手機內LINE的記錄訊息,證實該集團販毒的非法交易情形與聯絡資訊。
結語
隨著行動裝置的發展,一般人平日對它依賴程度越來越深。在這樣的情形下,個人隱私也正大量地被記錄在行動裝置上。據媒體雜誌報導,時有所聞的不乏某某知名人士遺失手機,私密訊息遭外洩,造成當事人很大的傷害。而為避免這類情事的發生,廠商也竭力地研發各種保護模式,設法讓使用者安心。站在使用者的角度來看,這樣設計當然是好的,但以另一角度來看,非法人士也可透過此機制,使犯罪跡證不易被鑑識人員取得。
對此,本篇探討Android系統的圖形鎖,透過鑑識工具備份至行動裝置(取得最高權限)的方式,進行圖形鎖gesture.key的移除或解鎖工作,而結果是成功的。雖然無法保證每一種保護模式都能成功解鎖,但相對地,廠商也無法保證當使用者設定了保護鎖,個人隱私資訊就能夠絕對安全無虞。以本篇為例,鑑識人員就成功破解了智慧型手機的保護模式,使鑑識人員能進一步蒐集數位跡證,進而證實非法人士的犯罪活動。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>