由於iOS作業系統擁有完善的資訊安全機制,並對許多操作與存取做設限,如此一來越獄便成了眾所討論的話題。越獄就如同字面所述,讓iPhone脫離蘋果公司設限的監牢,但究竟該如何執行越獄?透過越獄能夠獲取到什麼關鍵資訊?本文即透過越獄的程序,瞭解關鍵證據存留紀錄,以找出事證關連性並還原真相。
DFU Mode(Device Firmware Upgrade Mode)為特殊模式,用來升級抑或降級韌體版本,該模式啟動後系統不會進行iBoot(引導程序),iPhone螢幕上會出現空無一物的黑頻,許多越獄程式均須搭配DFU Mode方能執行,其有數種操作方式可令裝置進入DFU Mode,以下介紹其一方法步驟。
首先,將iPhone透過USB線與電腦連接,並透過電腦開啟iTunes,並確認已連結到iPhone。接著,同時按住iPhone上的電源開關鍵和主目錄鍵(Home鍵),直至iPhone強制關機,再放開電源開關鍵,但持續按住主目錄鍵(Home鍵)不放。
持續約10秒後,電腦上所開啟的iTunes將識別出iPhone進入DFU Mode,並且iPhone螢幕上呈現無任何文字及圖示的黑頻狀態,即表示已完成進入DFU Mode。若欲解除DFU Mode,則同時按住iPhone上的電源開關鍵以及主目錄鍵(Home鍵),直至螢幕上出現蘋果圖示,即表示iPhone已重新啟動,離開DFU Mode。
相對地,Recovery Mode為iPhone韌體正常的還原途徑,也是當iPhone進行升級或回復時進入的系統狀態,通常會手動執行Recovery Mode是為了將異常狀態的系統,透過先前iTunes上的備份,予以還原為正常狀態。進入Recovery Mode後,iPhone螢幕上將呈現「iTunes與USB連接」圖示,而進入Recovery Mode亦有多種方式,以下介紹其一方法步驟。
一開始,先將iPhone透過USB線與電腦連接,再透過電腦開啟iTunes,並確認已連結到iPhone。然後,同時按住iPhone上的電源開關鍵以及主目錄鍵(Home鍵),直至iPhone強制關機後,依然持續按住電源開關鍵及主目錄鍵不放。約5秒後,iPhone螢幕上出現蘋果圖示的重新啟動畫面,即進入Recovery Mode,並顯示「iTunes與USB連接」圖示。
如果想要解除Recovery Mode,則同時按住iPhone上的電源開關鍵及主目錄鍵(Home鍵),直至螢幕上出現蘋果圖示,即表示iPhone已重新啟動,離開Recovery Mode。
iPhone 4
本實驗採用iPhone 4作為操作的裝置,並將手機之作業系統版本更新至iOS 7.1.2版本,而目前市售最新型之iPhone手機為iPhone 6及iPhone 6 Plus型號,作業系統部分目前則可更新至iOS 8.1.3版本。
將本實驗操作之iPhone 4更新為iOS 7.1.2版本,是因為最新版的iPhone作業系統iOS 8並不支援iPhone 4,所以此裝置所搭載之作業系統僅能更新至iOS 7.1.2版本。
iOS 8所支援的iPhone型號包含iPhone 4S、iPhone 5、iPhone 5C、iPhone 5S、iPhone 6、iPhone 6 Plus,其他系列行動裝置則包含iPod touch第五代、iPad 2、iPad Retina、iPad Air系列、iPad mini系列等。
iTunes
iTunes為蘋果公司各項產品與使用者個人電腦連結的驅動程式與管理平台,提供使用者免費下載安裝,目前最新版本為iTunes 12版本,其具備有完整的影音播放器、同步、備份、燒錄、共享與瀏覽iTunes Store與App Store的功能,針對iPhone的同步與備份支援,包含有音樂、影片、相片、應用程式、通訊錄、行事、電子郵件帳戶等,透過Apple iTunes所執行的備份,其備份檔案會因作業系統不同而儲存在電腦內不同的路徑中,彙整於表1。
表1 iTunes備份檔案儲存路徑
iTools
iTools為一款雙平台行動設備管理工具,能夠分別管理搭載iOS系統和Android系統的行動設備,對於運作iOS的行動裝置來說,可說是iTunes的替代及輔助工具,在基本管理方面,對於多媒體檔案、應用程式、資訊查看等功能一應俱全,相較於iTunes,其具備較直覺化的操作介面,當然在主要的功能上更多了對於越獄狀態下iOS的管理及功能支援。
SQLite Manager
SQLite Manager為開放原始碼的SQLite管理工具,用來管理、開啟電腦上的SQLite類型檔案,可以作為Firefox、Thunderbird、Songbird等擴充功能元件,透過樹狀結構顯示SQLite資料庫中的物件,以直觀的索引、檢視方式,讓使用者利於增加、刪除、更改、查詢資料庫內的資料,具備工具列及各項快捷按鈕方便使用者操作存取。
越獄後的證據跡證
首先必須先確保iPhone的作業系統版本為iOS 7.1.2版,本實驗以模擬一般使用者日常使用iPhone可能之操作與應用為前提背景,並使用iTunes執行備份後,透過盤古(PanGu)越獄程式,對iPhone 4手機按步驟執行越獄,檢視iPhone於越獄後其內存使用資料變化,以及介紹Cydia的基本應用。
最後將執行越獄之iPhone手機透過DFU Mode和iTunes回復iPhone功能,回復為原廠設定,再透過iTunes的回復備份功能還原iPhone,並且觀察上述各項操作過程,對於iPhone上所儲存的使用資料是否造成異動以及越獄後所能萃取與檢視的證據資訊。
環境設定
為模擬使用者之使用情形,本實驗將iPhone 4做一般性的日常使用,諸如新增電話簿名單、撥打及接聽電話、至App Store下載應用程式、拍照及儲存相片,備忘錄記事等等,並於越獄程序開始前,將iPhone以USB線接上電腦,透過iTunes的立即備份功能執行備份,如圖1所示。
 |
| ▲圖1 透過iTunes的立即備份功能來執行備份。 |
本實驗透過搭載Windows 8作業系統的筆記型電腦執行,所以備份檔案將儲存於「\使用者\(使用者名稱)\App Data\Roaming\AppleComputer\MobileSync\Backup\」路徑下的資料夾中,如圖2所示。
 |
| ▲圖2 備份檔案所儲存的資料夾捷徑。 |
執行盤古越獄程式
在越獄程式開始前,必須先關閉iPhone螢幕的密碼鎖定,至選項「設定」→「密碼」→「關閉密碼」將密碼鎖定解除,方能開始越獄程序,並先將iTunes關閉,以免影響程式執行。