伴隨著i裝置新品的接力發表,作為其作業系統的iOS翻新步調也更加地頻繁。iOS每次的版本更新,除了使消費者驚奇,也趁機修補自身的漏洞與缺失,加強防駭防毒,但如此一來也讓相關的數位採證鑑識工作難度攀升。
自iOS 3開始新增了iTunes的加密功能,讓使用者可以對備份資料加密;目前iOS 7則是增加了對連接iOS裝置的信任機制,每當電腦和該裝置第一次連接,就會跳出信任與否的提示視窗,一旦選擇不信任電腦,就會造成無法存取該裝置的資訊和相片,並會在每次與不信任的電腦連接時詢問信任與否,如圖2所示。
 |
| ▲圖2 iOS 7的信任提示畫面。 |
鑑識萃取技術介紹
本章節分別介紹了功能不同的鑑識萃取技術,iBackup Viewer是利用備份資料進行萃取的鑑識軟體工具,可針對iTunes備份行進萃取,而iPhone Tracker則是利用iOS裝置會記錄GPS的經緯度紀錄來刻畫出使用者的地圖軌跡。
最後,則介紹利用Bootrom漏洞的A4處理器實體萃取技術,可以無視裝置的系統版本,進行實體萃取。
iBackup Viewer備份鑑識軟體
iBackup Viewer軟體分為Windows版和Mac版,會依照作業系統的備份路徑進行資料的萃取,備份鑑識屬於邏輯萃取,此測試iOS裝置作業系統為iOS 7,利用該軟體萃取的資料包含電話簿、通話紀錄、簡訊、記事本、錄音檔、網頁瀏覽紀錄與書籤、相片、應用程式資訊和記憶體資料。
以上資料萃取結果都可以另外匯出TXT和CSV檔案,而分析通話紀錄可顯示出100筆的紀錄,如圖3所示。
 |
| ▲圖3 備份鑑識軟體通話紀錄資訊。 |
分析應用程式備份資料,可以知道裝置內安裝應用程式的數量,對於想了解的應用程式,可檢視位於各App資料夾內Plist和SQLite的檔案資訊,也可以儲存應用程式和相關檔案進行額外的分析,如圖4所示。
 |
| ▲圖4 備份鑑識軟體應用程式資訊。 |
iPhone Tracker使用者位置紀錄
雖然在iOS 5之後consolidated.db檔案就不再被備份,但是依然可以利用實體萃取的方式來蒐集該檔案,或是利用cache_encryptedA.db檔案(iOS 7之後取消備份)的備份來收集GPS的經緯度紀錄,再配合使用Google Map,就能夠將收集到的紀錄標記在地圖上,顯示出使用者的位置軌跡線索。
安裝iPhoneTracker並執行後,就可以看到地圖畫面,如圖5所示直接指定備份路徑,即可匯入consolidated.db(iOS 5以上不支援)。
 |
| ▲圖5 iPhoneTracker介面。 |
或者,直接點選收集到的consolidated.db進行匯入,完成後就可以看到依據經緯度紀錄而標示於地圖上,如圖6所示。
 |
| ▲圖6 GPS檔案所暴露出的使用者地圖軌跡資訊。 |
A4處理器實體萃取技術
這是利用Bootrom漏洞所研發出來的實體萃取方法,應用在iPad、iPod touch(第4代)、iPhone 4上,利用該漏洞無須對裝置進行越獄程序,就可以直接針對裝置進行實體萃取的技術,由於系統韌體的更新無法修補漏洞,所以即使是更新到新版的作業系統iOS 7,這個方法依然可以實體萃取到裝置資料。
實例演練
執法單位跟監一位販毒非法者A君,並且在A君的一次交易當中以現行犯逮捕A君以及買主,爾後合法取得A君的iOS智慧型裝置(iPhone 4)與電腦等資訊設備。
為了了解A君的完整販毒地點、販毒對象與收集交易行為紀錄,因此需要利用扣押的裝置來進行數位證據的採集和後續分析,以利於找出更有利的罪證和交易名單,調查人員可以針對以下四個方向進行證據的採集。