Cellebrite UFED v7.45 版本更新說明

2021-5-27 by 高田鑑識

Version7.45 | Cellebrite UFED and Cellebrite Responder

軟體更新
備份載點
發布通知

三星 Android 裝置支援符合法規之暴力破解螢幕鎖功能

新的螢幕鎖暴力破解(Brute-Force)功能,可允許從採用 Exynos 晶片並螢幕鎖為鎖定狀態下的三星裝置,針對 FBE – File Based Encryption 與 FDE – Full Disk Encryption with Secure Start-up 加密方式的裝置上進行完整檔案系統(Full File System)提取。

暴力破解另提供最近發布的「經授權 – consent-based」的完整檔案系統提取,提供了對全球三星 Exynos 裝置最廣泛的數位取證支援。

本次更新後可支援至 Android 11 與採用 Exynos 晶片組的熱門三星裝置。支援的型號包含 S8、S9、S10 和 A10-A50 系列等。

註:暴力破解會採用 Cellebrite 客製化的字典檔案來優化破解作業。

於提取開始前,若偵測之裝置適用於「暴力破解」選項,UFED 會自動建議適合提取方式,如下:

圖一、FDE 之暴力破解提取提示

圖二、FBE 之暴力破解提取提示

圖三、暴力破解選項

若提取採用 Exynos 裝置時以上提示無自動顯示,可手動改用通用範本選擇提取模式:

>> Vendors > Samsung GSM > Generic Android Exynos FBE

>> Vendors > Samsung GSM > Generic Android Decrypted Exynos

註:按鈕上的「繞鎖 – Lock bypass」指示有可能不會出現,但取決於裝置的型號,螢幕解鎖功能仍然可使用。

註:如果有必要禁用特定鑑識人員的 Brute-Force 選項,可以從 UFED Permission Manager 或 Cellebrite Commander(從即將發布的 Commander 版本)進行管理控制。

加強版的 iOS 完整檔案提取 (Full File System)

新的提取方式將採用 CLBX 格式儲存。

    • 速度提升:新的資料收集方法經測試顯示,與以前採用 DAR 格式相比,其性能提高了2倍。
    • 穩定性:CLBX 格式的資料收集過程可更加穩定。 使用新的 CLBX 格式,系統在資料提取過程中若有失敗或錯誤產生,系統會進行處理和記錄於提取的 metadata 資料內。
    • 檢查簡易化:新格式的設計目標之一是讓手動檢查更加容易,並可與其他檢查工具進行檢視。 CLBX 本質上是一個未壓縮的 ZIP 檔案,具有簡單的擴充性,可以存額外的 metadata 與檔案的屬性,這通常是數位鑑識檢查的關鍵部分。
    • 擴充性:新格式的設計具有可擴展性,可以在未來支援更多功能。

支援最新版的 iOS 14.6

Cellebrite UFED v7.45 支援更多 iOS 版本,包含 5 月 24 日剛剛發布的 14.4、14.5 和 14.6。 現可以執行進階邏輯提取(Advanced Logical),完整檔案系統提取(Full File System),或從任何這些 iOS 版本中的裝置進行螢幕截圖。

註:也包含所有的 sub-version – 14.4.1,14.4.2 與 14.5.1。

iOS 裝置支援可選擇性的完整檔案提取與新的裝置屬性畫面

現在支援從 iPhone 5 到 iPhone X 的各種 iOS 裝置執行選擇性完整檔案系統提取。

從特定的 APP 或檔案執行提取。 可讓鑑識人員準確收集他們需要或可以存取的內容,從而最大限度地減少隱私侵擾,也可節省調查的寶貴時間。

註:若採用選擇性提取,提取出的資料僅可被 Physical Analyer v.745 開啟分析。

iOS 裝置與已安裝的 APPs 洞察資訊

鑑識人員現在可以在提取過程開始之前先取得一個裝置屬性的全貌,例如裝置所有者名稱,iOS 版本,IMEI 與其他有價值的資訊。 除了基本的裝置屬性,還可以瀏覽裝置上已安裝的 APPs 類別以及其分類(社交,加密貨幣等)。

提醒:要充分利用 Android 與 iOS 上已安裝的 APP 洞察功能,請確保從 MyCellebrite 的 UFED 4PC / UFED Touch2 > Add-ons 下,下載最新的 APP 分類資料庫。

已排除問題

  • 變更 license 檔案時錯誤。

  • Touch 2 – 當使用 Cable U441 時提取會被覆蓋  。

  • Touch 2 U441 Cable – 當提取完成後點選「完成」按鈕時出現錯誤  。

  • APK Downgrade – 無法降版提取 Viber。

  • 升級時會有錯誤。

  • 選擇性提取:當選擇備份”Gmail” (com.google.android.gm) 時會一起備份”Google Mobile Services” (com.google.android.gms)。

  • 華為原廠備份模式失敗。

  • 三星 FFS 提取時錯誤 – J400F | J400M | Android 10, A50, A810S, A260G, J530F。

  • 案件資訊 – 裝置所有人無內容。

  • 聊天資訊擷取 (Chat Capture) – Signal 聊天內容無法開啟。

  • 聊天資訊擷取 (Chat Capture) – WeChat 聊天內容無法開啟。

  • 聊天資訊擷取 (Chat Capture) – Snapchat 出現錯誤。

  • iOS FFS – 提取的資料大小與實際檔案大小有出入。

已知問題

  • 新的「APP 分類資料庫」需先下載並匯入到 UFED v7.45 才可顯示 APP 分類資訊。

  • 聊天資訊擷取 (Chat Capture) – 不支援 Instagram version 188.0.0.35.124 以上版本。

  • iOS 選擇性提取 – PA 無法顯示裝置資訊。

  • iOS 選擇性提取 – iOS 原生 APP 無法提取。

  • iOS 選擇性提取裝置資訊 – iOS 原生 APP 被分類為「unknown application」。

  • UFED Touch2 – 程式開啟時在特定的狀況下需較長時間。