智慧型手機已是人手一支,尤其是Apple iPhone手機更讓一般人趨之若鶩。許多人透過安裝App,以iPhone手機來處理日常的大小事,這其中當然也包括那些貪贓枉法之徒。因此,如何透過iPhone應用程式鑑識出其不法行為,似乎也成了當務之急,本文將詳細介紹相關背景,並完整說明整個鑑識過程。
手機內建應用程式之實體萃取資訊
商業性手機鑑識工具如XRY等,部分功能著重在萃取手機內建應用程式的檔案,如多媒體類的音樂、電影和圖片等多媒體檔,這些多媒體檔在iPhone與iTunes同步後會儲存在手機上的「/iTunes_Control」目錄內。
無論使用者如何更改手機選項,這個靜態目錄都是固定的,這使得手機鑑識軟體可以從中分析出含邏輯架構的實體萃取資訊。關於手機內建應用程式之實體萃取資訊,共有以下幾種:
照片
由於市面上典型的數位相機產生的影像檔會以國際普及的資料儲存型態EXIF(Exchangeable image file format)方式儲存,為了方便讀取和顯示手機與相機兩處的照片影像檔,iPhone內建的相機與一般數位相機相同,皆使用EXIF影像檔。
這些照片資料會存放在「/Media/100APPLE」目錄內,並且附註該影像拍攝的時間和地點,方便使用者查詢。
Wi-Fi資料
Wi-Fi是一個建立於IEEE 802.11標準之上的無線區域網路(WLAN)設備,讓使用者可以利用手機無線上網。iPhone儲存的Wi-Fi相關資料會自動標出無線上網的日期、時間和地點,能夠用來找出使用Wi-Fi上網的紀錄。Wi-Fi的瀏覽紀錄會存在一個plist的檔案夾(Library/Preferences/SystemConfiguration....../com.apple/wifi.plist)內。
蘋果行動裝置只要連上網,就會將紀錄存進「WiFi networks」資料夾裡,使用者可以憑此資料夾找出曾經連結過的網站網址。而此功能讓使用者能夠快速連結。
Google Maps資料
Google Maps是Google公司向全球提供的電子地圖服務,包括局部詳細的衛星照片。iPhone上的Google Maps應用程式可以儲存地點資訊、最近的地圖搜尋、駕駛過的地域和接觸過的地址。
鑑識人員藉由此資料可以從最近的地理位置查詢來調查使用者曾去過或意圖前往的地點。
裝置目錄
iPhone手機除了開關機鍵、音量控制鍵、響鈴/?靜音鍵和退出鍵外,完全沒有其他實體按鍵設計,因此非常依賴虛擬鍵盤進行大部分文字和符號的輸入。「/Library/Keyboard/en_US-dynamic-text.dat」檔案內,含有所有經由iPhone虛擬鍵盤輸入過的文字。
檢查該檔案可以得知使用者輸入過哪些資料,且即使文字訊息輸入後遭到刪除,在此目錄之中仍會留下紀錄。
時鐘資料
Apple行動裝置備份檔案中的時間資訊,使用三種時間標準格式。第一種是Unix epoch time,這種格式被廣泛應用在Linux/Unix上。第二種是蘋果產品使用的Absolute Time,透過從2001年1月1日至今日時間的秒數來表達。
最後一種是標準UTC(Coordinated Universal Time)日期,也就是國際標準時間,以英國格林威治天文台為準訂出全球時區。UTC時間戳記格式是最典型的非官方應用程式使用之時間戳記。
其他內建應用程式
除了上述的內建程式外,iPhone也內建其他可以儲存使用者活動的應用程式,例如Apple使用的瀏覽器Safari能夠儲存瀏覽歷史紀錄。
網站瀏覽紀錄、書籤和HTML 5資料庫都可以經由查詢「/Library」目錄得知,而記事本(Notes)應用程式除了用來開啟此目錄外,也包含儲存該記事本的時間。
App Store與非官方應用程式
iPhone手機的程式安裝來源,可分為App Store及非官方應用程式兩種,以下分別介紹。
App Store
App Store是蘋果公司為其iPhone、iPod touch及iPad等蘋果產品用戶所架設的服務網站,內含容量龐大且多元的資料庫,允許用戶透過iTunes上的Store選項瀏覽和下載一些為iPhone軟體開發組件(Software Development Kit,SDK)所開發的應用程式。
App Store含有付費軟體及免費軟體,供用戶選擇應用程式直接下載到iPhone或iPod touch。其中包含遊戲、日曆、翻譯程式、圖庫及許多實用的軟體。
非官方應用程式
所謂的非官方應用程式(Third Party Applications)是指非作業系統提供者的個人或公司所設計的作業系統程式。iPhone手機的應用程式即是非蘋果官方釋出,由外界人士依據蘋果專用作業系統iOS所設計製作的應用程式,並經由蘋果公司授權的App Store發行。
非官方應用程式種類豐富,涵蓋許多領域,也提供許許多多具便利性的服務,是iPhone玩家最重視的部分。應用程式種類大致可彙整成表2。
表2 非官方應用程式種類
非官方應用程式鑑識
非官方應用程式鑑識可從iTunes和iPhone手機連結之前置作業以及備份檔案之分析兩方面來加以說明。
iTunes和iPhone手機連結之前置作業
非官方應用程式儲存在iPhone使用者檔案分區(第二分區)母目錄「/private/var/mobile/Applications/」下,透過iTunes直接在手機上下載,或使用電腦下載後同步到iPhone上。
開始鑑識後,首先用傳輸線將iPhone和電腦連線。當iTunes與iPhone連接時,畫面上會顯示iPhone的設備摘要資訊,如設備名稱、容量、版本及序號等等。本文測試手機機型為iPhone 4 MC603TA,版本4.3.5(8L1),而iTunes版本為10.5.0.142。