分析行動裝置的螢幕鎖密碼
近幾年,Apple 不再使用 4 位數的 PIN 碼,改為 6 位數,並且加入了不安全 PIN 碼 的黑名單制度。這些改變對於安全性有何影響?6 位數的 PIN 碼相比 4 位數的是不是更加安全?而那些被列為黑名單的 PIN 碼真的能提高安全性嗎?讓我們一探究竟。
近幾年,Apple 不再使用 4 位數的 PIN 碼,改為 6 位數,並且加入了不安全 PIN 碼 的黑名單制度。這些改變對於安全性有何影響?6 位數的 PIN 碼相比 4 位數的是不是更加安全?而那些被列為黑名單的 PIN 碼真的能提高安全性嗎?讓我們一探究竟。
Cellebrite 的 iOS 鑑識工具現在支援更進階的邏輯檔案系統提取方法,可提取 iOS 裝置上的所有應用程式和其相關數據。這種提取方式利用裝置本身的功能,可以在解鎖的 iPhone 和 iPad 上達到快速和完整的提取。這種進階提取方法尤其對於新一代 iOS 裝置非常有用,因為它們的檔案系統使用了更複雜的加密和保護措施。 此外,Cellebrite 還支援使用 Checkm8 漏洞進行物理提取。Checkm8 漏洞是一個硬體級漏洞,可用於解鎖 iOS 設備,無需輸入密碼或採取其他解鎖措施。此方法適用於支援 Checkm8 的 iOS 裝置,可用於解鎖加密的檔案系統並提取所有數據。
當分析行動裝置資料時, PA 上可呈現不同種類的定位資訊。本篇文章會深入探討 iOS 地理圍欄 - GeoFences 功能,該資料庫是由 iOS 作業系統維護與管理,主要用於監測抵達與離開位置的行為,任何要使用地理圍欄的 APP 需透過 API 才可與其溝通。藉由分析存放地理圍欄資訊的 consolidated.db 資料庫 ,讓鑑識人員對於行動裝置上的定位資訊有更詳細的了解。
清除資料是常見的一項銷毀證據的方法。多年來,我們觀察到許多試圖掩飾清除動作、防止被檢測的手段。本文旨在協助您快速確認 iOS 裝置是否曾經被清除。請留意,裝置被清除並不代表一定有發生過違法行為,仍有很多清除裝置的正當理由。我們只是協助您確認清除的時間點,至於清除裝置的背後原因,需由您自行調查發現。
NSO Group 聲稱他們開發的 Pegasus (飛馬間諜軟體) 僅用於 “恐怖主義和犯罪調查” 並且 “不會留下痕跡”。本鑑識報告在此表明: 以上陳述均不屬實。此報告伴隨 Pegasus Project (飛馬計畫揭密) 一同發表。Pegasus Project 是一項合作調查計畫,參與者包括來自 10 個國家、17 個媒體組織的 80 多名新聞工作者,由 Forbidden Stories (被禁止的報導) 協調,並取得國際特赦組織安全實驗室技術支援。
Keychain 是 Apple 生態系統的主要功能之一。 Keychian 包含太多的敏感資訊,因此在 iOS 內也是受到最嚴格安全機制的保護。 同時,鑑識領域對於 Keychain 的開發還相對不足。 眾所周知,Keychain 包含用戶的帳號與密碼,以及支付工具的資料,如信用卡。除了以上資訊之外,Keychain 實際上還包含成千上萬個屬於各種 App 和系統的資訊,這些資訊是開啟許多其他敏感 App 內的內容所必需的鑰匙。 本文章會就 Keychain,其內容、保護與同步機制方法做深入的探討。
checkra1n 越獄工具推出後,介於 iPhone 5s~X 之間的 iOS 裝置可輕鬆取得 Root 權限,本篇介紹如何在 Mac 與 Windows 系統下使用 SSH over USB 方式與 iOS 裝置連線,除可確保傳輸穩定與快速,也可藉由 TAR 備份指令,完整提取 iOS 檔案系統(Full File System),並匯入PA進行分析。提取過程裝置不需連線上網,可確保提取出的資料符合科學鑑識的方式。
上一篇有關 SQLite 介紹是針對 WAL 檔案的分析說明,而本篇內容會回歸到資料庫的基本架構與語法介紹,採用的資料庫範本為 iPhone 手機資料量最大的 LINE 資料庫。藉由逐步拆解 LINE 資料庫的資料表與紀錄等資訊,並透過 SQL 語法將資料庫的內容依聊天群組,訊息留言數量等條件彙整並輸出報表,可讓鑑識同仁對於資料庫的架構與資料儲存模式有基礎了解。未來若有其他 APP 尚未被 Physical Analyzer 支援,可藉由本篇介紹方式先進行初步分析,可能會取得重要證據。
緝毒組的警員執行了一個逮捕行動,過程中保存了數隻行動裝置與相關物證,在將證據移送到秘密地點保存之前,警員皆有依照 SOP 程序將 Android 與 iOS 裝置的「飛航模式」啟用。但在行動執行完不久,接獲線報告知證據保存地點,已透過「尋找我的iPhone」功能被定位得知,請警員們立刻將證物移轉到其他地點。
iOS 檔案系統採用 File Based Encryption(FBE) 加密的機制,當任一個檔案刪除後,位於該檔案 metadata 內的 File Key 金鑰也被刪除,即使採用物理提取也無法恢復檔案內容。但採用 FFS 提取 iPhone 5S – iPhone X 裝置後,透過 PA 解析開始又出現已刪除的資料,包含 Telegram, LINE 與網頁搜尋紀錄等等,為什麼 PA 上再次呈現已刪除的資訊?