現在人倚賴手機處理一切日常事務,所有重要資訊都匯聚其中,一旦安裝了惡意App,就像開門揖盜,毫不設防,個資任人取用。針對以下相關案例進行鑑識,不論嫌疑犯如何進行滅證,總能從備份這個層面去尋找突破口,最終找出關鍵證據,順利將其繩之以法。
話說Tornado公司近年來並不平靜,又是接班人選問題,又是經營權之爭,一波未平一波又起,之前的諸多紛爭好不容易暫告一段落。
但近幾個月以來,業界屢傳出不利於Tornado公司的風聲,直指攸關該企業的核心技術等營業秘密已外流至競爭對手陣營。
人心惶惶個個都有嫌疑
在一次高層幹部會議之上,總裁宣布為了查明是否真有營業秘密已遭到外洩的情事,決定向警方報案,同時責成核心小組成員全力配合警方調查。據知情人士透露,Tornado公司竟連核心小組的秘密會議所討論的內容也遭外流,不禁令人懷疑是否為有心人士聯合內鬼,企圖竊取機密或是想要搞垮整個公司。
在調查過程中,針對抓內鬼的部分,Tornado公司有提供一份名單,包括了在職員工以及離職員工在內,期能快速鎖定可疑對象。
然而,警方在初步對相關人員的電腦及手機進行鑑識分析之後,暫時排除了名單當中成員涉案的可能性。
由於未能有突破性的進展,案情猶如陷入十里迷霧之中,令總裁感到憂心不已,核心小組裡的這幾個人都是總裁最為信任的人,不可能會是出賣公司的內鬼。此時,總裁的腦海裡突然閃過一幕情節,他憶及有幾回曾讓IT人員幫忙修手機,難不成會是在那樣的情況下被動了手腳?
毫無頭緒先從手機著手
經向警方表明上述情事後,專案調查小組火速將Tornado公司總裁和核心小組成員的手機,送至實驗室進行鑑識分析。鑑識人員R決定先從總裁所使用的手機下手,為了確保資料安全起見,R在訊號完全遮蔽的情況下,關閉了與遠端搜尋裝置的相關功能,避免資料有遭到遠端抹除的風險。
而為了進一步釐清該手機內是否有惡意App潛伏其中,首先要讓該手機啟用Wi-Fi連向所準備好的熱點,以進行封包擷取,並同時察看手機中運行程序的即時連線狀況。
在經歷一段時間的觀察之後,R留意到一個名稱怪異的程序,其Process ID為9583,如圖1所示。
圖1 發現一個名稱怪異的程序。
R根據程序名稱中的關鍵字,查找手機中所安裝的App,確有一個Package Name與那個怪異程序名稱完全相符的App存在其中(如圖2底線部分所示)。進一步查詢此App所在的路徑,並將其apk安裝檔自手機中擷取出來以進行分析,操作步驟如圖2所示。
圖2 將apk安裝檔自手機中擷取出來進行分析。
可疑App資料隨意存取
當對此apk檔進行分析時,查看其所具備的權限列表(圖3),映入眼簾的權限之多著實令R感到吃驚不已。一旦將此apk安裝在手機內,此App將能夠在使用者渾然不覺的情況下存取所有資料,包括通訊錄、簡訊、行事曆、地理位置資訊等等重要資訊在內,甚至還具備可以在背景進行周圍環境錄音的能力。對於這個可以暗中蒐集使用者敏感性資料而不易被察覺的App,R給了它一個代號「Z」。
圖3 查看apk檔所具備的權限列表。