在iPhone帶給一般人生活諸多便利的同時,利用iPhone從事非法行為的案件也與日俱增。若能從iOS裝置取得犯罪跡證,對於調查不法事件將有相當大的幫助,所以針對iOS裝置進行數位鑑識,並從中取得可以佐證或追蹤犯罪的相關資訊,就成為不得不注重的課題。
鑑識人員欲了解嫌犯阿龍於5月16日的行蹤而對所扣押的裝置進行定位萃取,其步驟如下:
1. 先用iTunes將iPhone進行備份。
2. 在備份的同時,直接從iPhone設定中查看該使用者
最常出沒的位置,如圖15所示,從中得知阿龍已將其常用位置的資料刪除。
 |
| ▲圖15 從系統設定中查看使用者最常出沒的地點定位。 |
3. 備份完成後,即可使用iBackup Viewer尋找其相關
的通聯記錄。
4. 使用iPhone Backup Extractor Software查看Location
Data,但阿龍的iPhone已經更新至iOS 8且沒有
越獄來增加權限,所以無法取得定位資料的
KML檔。
5. 利用iPhone Backup Extractor來取得HFS+架構下的
iOS系統資料,並從iOS File中取得consolidated.db檔案並利用SQLite Manager來檢視,如圖16所示,藉此可以得知阿龍於5月16日曾前往台北與桃園
地區。
 |
| ▲圖16 使用SQLite Manager來檢視consolidated.db。 |
6. iPhone中的照片可透過電腦取得該照片的拍照地
點。其中5月16日所拍攝的照片資訊如圖17所示。透過這些照片資訊可以得知,阿龍的iPhone曾在桃園的龜山與中壢地區取得定位資訊。
 |
| ▲圖17 iPhone內所取得之照片資訊。 |
7. 此iPhone裝有Google Maps與Google Chrome等
應用程式,因此可以從網路上取得在Google的定位紀錄,但需要輸入使用者的登入資訊,而此資訊可以從Account資料夾中取得,其帳號密碼是位
於com.apple.account.Google.plist檔案內,如圖18所示。
 |
| ▲圖18 從Account資料夾中的檔案可得知該Google帳號與密碼儲存於com.apple.account.Google.plist檔案中。 |
登入後即可取得該裝置於5月16日的Google定位紀錄,如圖19所示。
 |
| ▲圖19 5月16日的Google定位紀錄。 |
可拉動地圖下方的時間軸來查看大略的移動路線,如圖20所示。
 |
| ▲圖20 拉動下方的時間軸可得知該裝置大略的移動路線。 |
點擊地圖上的圓點可得知該位置的時間,可用以比對從consolidated.db所取得的資訊,如圖21所示。
 |
| ▲ 圖21 取得Google定位紀錄的時間,並與consolidated.db的Timestamp進行比對。 |
藉由上述七個步驟所取得5月16日的定位紀錄搭配通聯紀錄與照片資訊,交叉分析與整理之後,可得資料如表1所示,進而循線追查後順利破獲此毒
品集團。
表1 藉由定位資料所取得的時間地點整理表
結語
在目前這個依賴智慧行動裝置的時代裡,iOS裝置已經成為許多人隨身攜帶的物品,其中定位功能提供諸多的服務與技能,而在使用定位功能的同時,裝置內將留下相關的定位資訊。倘若不法者持有該裝置,則此功能可在不經意的情況下遺留許多相關犯罪的跡證。
本文將定位資訊進行萃取並分類整理,使得調查單位能以更有效率的方式來使用這些資訊,以追蹤或佐證犯罪的真相。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>