暗网潜航——手机电子取证鉴识——鹤长凫短
庞博文
2020-03-05 04:17 HKT
字体大小
智能手机已成为市民日常必需品,用户也存放大量个人资料、讯息及相片在手机内,加上在手机使用大量应用程式及社交媒体。除了成为黑客攻击对象外,假如被执法机关取走,进行手机电子取证鉴识时,用户又是否有充份保障呢?
最近几个星期,有很多人争论关于手机电子取证鉴识的事情,我一直在追看这些文章、新闻的评论及读者留言,发现很多人对于电脑取证概念模糊不清,甚至有很多穿凿附会的奇怪论点。作为一名电脑取证鉴识人员、我也发表一点意见和大家讨论一下。
大家讨论的方向,主要是到底「苹果」的iPhone,抑或是Google的Android手机,在对抗电脑取证时,哪一个系统比较容易被攻破,在不获授权的情况下,强制榨出数据。
首先,电脑取证的最终目标,就是「企图在没有取得权限的情况下,强制榨取系统内的数据进行分析,作为证据,以印证关联事件发生的经过及时间序列」。不过,其实我们行内也有一个专业名称,叫做「反电脑鉴证术」(Anti-Computer Forensic),从系统内保护私隐,对抗取证技术的安全机制。它的定义就是「使用技术方法,限制电脑取证技术所能获取数据的数量和质量」。
究竟iPhone或Android手机,哪个在电脑取证技术下容易被攻破?首先我们要观察手机系统本身的密码和存储加密保护。不管是软件和硬件机制,所有能够破解手机系统的电脑取证工具,都是使用已知的系统漏洞和厂商独有的零日漏洞。
在这一点上,iPhone和Android不同之处,iPhone是封闭式系统,完全由苹果公司管理;Android则是开放式系统,容许不同厂商修改及各自管理,而且两个系统所运行的第三方程式和硬件开放程度也不同,iPhone相对较为严谨。
所以iPhone被发现有漏洞时,一般都会比Android回应得更快,而且被堵塞机率更高,这一方面iPhone是占有优势的。当然,若有部份用户一直相信「更新手机会拖慢你的手机系统,所以最好不要更新」,又或者iPhone已被破解或越狱(Jailbreak),并下载及运行有问题软件,对我们来说,这就像是天上的鸭子掉在锅里一样,得来全不费功夫。
下一篇文章,我们则会由应用软件、硬件及电脑取证人员角度,分析用户手机被入侵机会。
TOZ联合创办人
庞博文
最近几个星期,有很多人争论关于手机电子取证鉴识的事情,我一直在追看这些文章、新闻的评论及读者留言,发现很多人对于电脑取证概念模糊不清,甚至有很多穿凿附会的奇怪论点。作为一名电脑取证鉴识人员、我也发表一点意见和大家讨论一下。
大家讨论的方向,主要是到底「苹果」的iPhone,抑或是Google的Android手机,在对抗电脑取证时,哪一个系统比较容易被攻破,在不获授权的情况下,强制榨出数据。
首先,电脑取证的最终目标,就是「企图在没有取得权限的情况下,强制榨取系统内的数据进行分析,作为证据,以印证关联事件发生的经过及时间序列」。不过,其实我们行内也有一个专业名称,叫做「反电脑鉴证术」(Anti-Computer Forensic),从系统内保护私隐,对抗取证技术的安全机制。它的定义就是「使用技术方法,限制电脑取证技术所能获取数据的数量和质量」。
究竟iPhone或Android手机,哪个在电脑取证技术下容易被攻破?首先我们要观察手机系统本身的密码和存储加密保护。不管是软件和硬件机制,所有能够破解手机系统的电脑取证工具,都是使用已知的系统漏洞和厂商独有的零日漏洞。
在这一点上,iPhone和Android不同之处,iPhone是封闭式系统,完全由苹果公司管理;Android则是开放式系统,容许不同厂商修改及各自管理,而且两个系统所运行的第三方程式和硬件开放程度也不同,iPhone相对较为严谨。
所以iPhone被发现有漏洞时,一般都会比Android回应得更快,而且被堵塞机率更高,这一方面iPhone是占有优势的。当然,若有部份用户一直相信「更新手机会拖慢你的手机系统,所以最好不要更新」,又或者iPhone已被破解或越狱(Jailbreak),并下载及运行有问题软件,对我们来说,这就像是天上的鸭子掉在锅里一样,得来全不费功夫。
下一篇文章,我们则会由应用软件、硬件及电脑取证人员角度,分析用户手机被入侵机会。
TOZ联合创办人
庞博文
更多文章