iOS韌體更新頻繁補強考驗數位採證鑑識技術

2014-10-31

中央警察大學資訊密碼暨建構實驗室（ICCL）

伴隨著i裝置新品的接力發表，作為其作業系統的iOS翻新步調也更加地頻繁。iOS每次的版本更新，除了使消費者驚奇，也趁機修補自身的漏洞與缺失，加強防駭防毒，但如此一來也讓相關的數位採證鑑識工作難度攀升。

緩衝溢位則是藉由應用程式的設計錯誤，攻擊者在過短的緩衝區間中輸入超過其承載之資料，讓應用程式產生問題，易促使系統停止，攻擊者可藉此獲得作業系統管理者的權限，受到影響版本包括iOS 1.0至iOS 7.1.1。

而所謂的繞過，是利用系統或應用程式的設計漏洞，攻擊者對實體裝置進行繞過密碼保護而獲取使用者的個人資料，會受影響的版本涵蓋iOS 1.0至iOS 7.1.1。

跨網站腳本則是針對網站應用程式的漏洞攻擊，應用程式允許攻擊者在程式碼注入至網頁，其他使用者在觀看網頁時會受到影響，影響版本自iOS 1.0至iOS 6.1.3。

另外，針對近期發現的漏洞來介紹，分別有繞過螢幕密碼鎖（Lockscreen Bypass Code）、SSL/TLS安全漏洞（SSL/TLS Security Bug）。

繞過螢幕密碼鎖影響到的版本為iOS 1.0至iOS 7.1.1。攻擊者就算不知道使用者的裝置螢幕鎖密碼，只要知道裝置韌體版本的繞過手法，就可以直接檢視裝置內容，造成裝置使用者的個人資訊被他人輕易竊取。

至於受SSL/TLS安全漏洞影響的iOS版本，包括6.0、6.0.1、6.0.2、6.1、6.1.1、6.1.2、6.1.3、6.1.4、6.1.5、7.0、7.0.1、7.0.2、7.0.3、7.0.4、7.0.5等版本。

此安全漏洞危害非常嚴重，SSL（Secure Sockets Layer）是網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術標準，而這個iOS漏洞會導致使用者的網路傳輸內容因為SSL沒有正常運作而被竊取，包括信箱帳號密碼、網路銀行等資料皆會因為此漏洞而洩漏，影響範圍甚廣。

iOS裝置數位鑑識

對iOS裝置進行數位鑑識，因為Apple的智慧型裝置並沒有任何外部擴充的記憶卡，所有的資料都儲存在裝置內的記憶體，而iOS裝置可以利用iTunes在電腦中進行資料備份的模式。

目前針對iOS裝置的數位鑑識可分為兩種方式，第一種是利用iTunes備份進行鑑識，不需要實際拿到iOS裝置，只要對使用者授權備份的電腦鑑識即可。第二種則是萃取iOS裝置上的資料，又可以分為邏輯萃取與實體萃取。

基於上述的情形，進行iOS數位鑑識的萃取工作，可以從兩方面來進行：備份萃取、裝置萃取。

備份萃取
Apple iTunes是針對iOS裝置與個人電腦連接的驅動與管理程式，可直接由Apple網站下載，免費提供使用者安裝使用，其備份包含影音檔、相片、通訊錄、通話記錄、行事曆、應用程式、Safari資料（書籤、Cookie、瀏覽記錄）、鑰匙圈（包括電子郵件帳號密碼、Wi-Fi密碼、應用程式密碼）等，這些備份檔案會因為作業系統不同而儲存在各個電腦的對應路徑，彙整於表2。

表2 iTunes備份檔案儲存路徑

裝置萃取
裝置萃取又細分為邏輯萃取（Logical Acquisition）及實體萃取（Physical Acquisition）兩種方式，這兩種萃取手法的比較可參考表3。

表3 邏輯萃取於實體萃取比較表

邏輯萃取的運作方式是，使用硬體連接線連接目標裝置與電腦或鑑識工具專用硬體，或是藉由裝置支援的外接式儲存媒體，以做為儲存鑑識軟體與萃取資料的存放裝置，利用軟體對檔案系統存放的邏輯性資料進行存取的方式，取得裝置內部儲存的資訊。

實體萃取則是使用硬體連接線連接目標裝置與電腦或鑑識工具專用硬體，透過專門的通訊協定，驅動裝置內部的系統服務，以位元為單位進行裝置內部實體記憶體的內容複製，取得完整記憶體內容，以利於後續分析或恢復使用者已刪除的資料。

iOS裝置的缺失

以下介紹的鑑識技術是利用裝置硬體漏洞與iOS系統機制發展的，可供鑑識所使用，而Apple在發現後也做出修正及改善機制。

Bootrom漏洞

Bootrom漏洞（Bootrom Exploit）是Apple出廠的A4處理器所出現的硬體漏洞，A4處理器中含有的Bootrom，是用來實現遠端無碟盤啟動的一種可覆寫ROM，因為是硬體上的漏洞，所以無法藉由系統韌體升級做改善。

而Bootrom也成為iOS早期裝置的越獄（Jailbreak）成功主因，並同時促成了iOS裝置的鑑識研發契機，依據這漏洞研發出一種實體萃取技術，但Apple公司推出新版A5處理器時已修正此硬體問題。

GPS紀錄

在iOS 5之前，iOS裝置會將使用者一年內的GPS位置完整記錄在consolidated.db，並且會隨著iTunes備份至使用者的電腦端中，凡是取得此DB檔案，就可以完整地追蹤該iOS裝置使用者過去一年的所在位置，甚至研發出彙整此GPS的資料與實際地圖的應用程式iPhone Tracker。對此，Apple推出iOS 5更新時已取消了此檔案的備份，並將記錄時間縮短成7天。 iOS備份機制無論對裝置系統越獄與否，凡利用iTunes對iOS裝置進行備份，皆可得到相同的備份資料，而備份檔案會搭配於系統內的路徑以SHA-1重新編碼該檔名，如圖1所示。