本文將分別透過越獄前與越獄後之iOS裝置,進行數位鑑識工具的跡證萃取實測,分析並比較越獄對於數位跡證萃取所造成的影響。
而本實驗所採用的Elcomsoft iOS Forensic Toolkit亦大幅受限於iOS版本的因素,對於iPhone 6/6s、iPad mini 2-4等較新一代裝置所搭載的iOS 7-9版本,即使在越獄之後也僅能支援Logical Image的萃取,如表2所示(本表格引用自Elcomsoft iOS Forensic Toolkit rev. 2.0 c 2011-2015 ElcomSoft Co. Ltd.所附之操作說明手冊),其中+代表能夠成功執行操作項目,而-代表無法執行該操作項目。
表2 Elcomsoft iOS Forensic Toolkit支援版本即萃取項目
由此般結果可知,數位跡證的萃取與裝置系統的安全性可謂一體兩面,隨著iOS作業系統版本的更新,先前可讓鑑識工具或其他跡證萃取手段得以施行的管道已遭封阻,亦即裝置系統的安全性更為提升,更多原本存在的系統安全漏洞已不復存在,對於合法使用者更是多了一層隱私保障;系統安全性的強化則意味著跡證萃取變得更加困難,越是具備高安全性的裝置,需要透過跡證萃取來還原事實真相時,對於鑑識人員形成了更高難度的挑戰。
此般情況的發生屢見不鮮,諸如失蹤青少年所遺留的智慧型手機、遭綁架者所放置於先前駕駛車輛上的電子裝置等,若鑑識人員無法突破這些裝置的安全機制,從中萃取出與事件相關的資訊,在一刻千金的危急情狀下,對於案件情勢將難以有效快速地發展。
舉例來說,青少年透過交友軟體結識網友,而發生翹家、翹課甚至失蹤的事件屢見不鮮,然而為避免遭父母查看手機,一般都會刪掉聊天訊息以保有隱私,而遭刪除之訊息在裝置未越獄的狀態下無法檢視,然而若透過越獄手段將裝置越獄後,則可相當程度地檢視這些已遭刪除的關鍵訊息,進而得知聯絡對象與聯繫過程。
透過越獄手段,能夠開放被加以限制與封阻的跡證萃取管道,使得關鍵資訊獲取的可能性大幅提升,透過本文的實驗流程及比較,可明顯得知,在越獄前無法成功萃取任何數位證據,而在越獄後竟可成功地萃取出iOS系統裝置的邏輯映像檔案,並檢視其內存資料與各類訊息,相對於支援案件的進展,將有大幅度的情報與時間爭取效益。
然而,越獄行為對於智慧型裝置的記憶體狀態與存取機制的改變是必然的,綜觀數位鑑識的各種手段,很難完全不改變任何原始證據元件,證據能力的認定與否以及證明力的強弱是在法庭上審查時的問題,即使透過不具破壞性抑或變更內存資料之數位鑑識手段所萃取出的證據,在法庭上是否予以採信及使用亦非必然。
若將數位鑑識之目的與手段支援於犯罪調查過程,運用所萃取之數位跡證主導辦案方向,進一步實行案件之調查,以獲取更多其他案情相關之物理跡證,又何嘗不是另一扇窗?
以本文為例,只要可以順利越獄iOS系統裝置,便能夠順利萃取一定程度之數位跡證,反之在未越獄的狀態下,若限制於不可越獄之前提條件,則對該智慧型裝置束手無策,更甭論萃取出有利於佐證事實之數位跡證。
若利用越獄後所大幅改變的系統存取機制,則能夠順利萃取出iOS系統裝置內存的映像檔案,而檔案內容當然是使用者在裝置內存的各種資料,諸如電話簿、SMS簡訊、各種App資料及訊息等,相對於案情之發展將有相當程度的幫助。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>