手机数字取证,发展成什么样了?
手机数字取证,发展成什么样了?
随着科技的不断发展,手机已经成为我们生活中不可或缺的一部分,承载着大量的个人数据。然而,这也使得手机成为数字取证的重要对象。本文将从取证概念、设备安全性、取证能力到安全对策等多个维度,深入探讨手机数字取证的现状及其技术发展。
与个人电脑相比,包括 iPhone 和 Android 设备在内的手机被更多人拥有并随身携带,也因此承载了更多的个人数据。手机在个人数据方面的高价值性,决定了其面临更高的安全考验。随着时间推移,iPhone 和 Android 设备在安全性方面都取得了长足的进步,日益成为个人能够拥有的最安全的设备之一。与手机安全性息息相关的数字取证领域也在不断进化。
取证概念
随着电子设备的发明,证据的概念从实物证据拓展到了包含计算机数据、手机数据的数字证据。数字取证,简而言之就是对电子设备进行数字证据提取、收集、保护等操作的过程。数字取证不一定由专业人士完成,数字证据也在司法领域之外的日常生活中时常发挥重要作用。比如说,我们对自己微信聊天记录的截屏就可以算作一种数字取证,而截屏图片就是数字证据。这样的数字取证是在维持手机安全性、完整性的前提下进行的。
但在一些情况下,对手机的数字取证涉及到可能破坏其安全性的操作。这类数字取证需要较高的技术能力,而这种能力往往来自于一些专门的数字取证技术提供商。知名的提供商包括 Cellebrite, Magnet, MSAB 等。
一般来讲,这些提供商提供两类数字取证方案:逻辑取证和物理取证。
逻辑取证在操作系统范围内,使用应用程序接口 (API) 与操作系统连接和通信,并从系统中请求所需的数据。其比较简单快捷,但提供的信息较少。在手机中安装取证应用,通过请求相关权限获取数字证据的方式,就是逻辑取证的一种。
物理取证是一种更复杂的提取方法,可以提供手机的整个文件系统,能比逻辑取证得到更多的结果信息。
设备安全性
了解几个与数字取证相关的设备安全性概念,能更好地帮助我们了解数字取证领域。
数据加密
数据加密是一种把原始数据经过处理变为加密数据的过程。加密后的数据,除非有密钥,否则无法解密看到原始数据。可以把密钥看成打开加密之锁的钥匙。在一些个人电脑上,个人数据是未经加密的。这意味着,对这些设备的物理取证,只需要拆下存储元件,就可以在其他设备上完成,无需考虑用户密码。然而在手机领域,目前市面上流通的 iPhone 和 Android 设备都已经对个人数据进行了加密。
在已设置用户密码的设备上,iPhone 对个人数据使用文件级加密。这意味着不同文件拥有不同的密钥,也因此可以有不同的加密等级。iPhone 配备了安全隔区,这是一种硬件安全元件,参与数据加密和其他安全功能,与仅依靠软件相比,能提供更强的安全保障。在 iPhone 上,个人数据的最低加密等级是「D 类:无保护」(NSFileProtectionNone),这类加密数据的密钥受 UID 保护。UID 对于每台设备来说都是唯一的,受安全隔区保护,不可被 Apple 或其任何供应商访问或储存。即使存储元件被拆下,这类加密数据也无法在其他设备上解密。电话、闹钟这类应用的加密等级是「D 类:无保护」,在开机后无需用户输入密码即可立即工作。某些元数据,如文件和文件夹名称,也可能采用此加密等级。大部分个人数据的加密等级更高,为「C 类:首次用户认证前保护」(NSFileProtectionCompleteUntilFirstUserAuthentication),这类数据受 UID 和用户密码共同保护。在开机后至用户首次输入用户密码 (Before First Unlock, BFU) 前,其处于加密状态;在首次输入密码后 (After First Unlock, AFU) 直至关机,其一直处于解密状态,密钥留在内存中。个人数据的最高加密等级是「A 类:全面保护」(NSFileProtectionComplete),这类数据同样受 UID 和用户密码共同保护,在 iPhone 解锁后处于解密状态。但 iPhone 锁定后不久,该密钥就会从内存中被丢弃,该类数据恢复成加密状态。很少有应用采用此加密等级。
在已设置用户密码的设备上,Android 10.0 及更高版本会对个人数据使用文件级加密(File-Based Encryption, FBE)。更旧的 Android 设备和某些个人电脑则使用全盘加密(Full-Disk Encryption, FDE)。某些 Android 设备配备了硬件安全元件,例如 Pixel 的 Titan 和 Samsung 的 Knox。这些硬件安全元件参与到了数据加密和其他安全功能之中。在 Android 上,个人数据的最低加密等级是「设备加密」(Device Encrypted, DE),这种等级与「D 类:无保护」类似。某些元数据,如应用列表,也可能采用此加密等级。大部分个人数据的加密等级是「凭据加密」(Credential Encrypted, CE),该等级与「C 类:首次用户认证前保护」类似。Android 设备支持多用户,每个用户可以设置不同的用户密码,不同用户的个人数据分别受相对应的用户密码以及安全元件保护。应用还可以使用由硬件支持的「密钥库」(Keystore),借助StrongBox Keymaster,实现类似「A 类:全面保护」的数据加密等级。很少有应用采用这种方法。
基于时间的节流
iPhone 和 Android 设备对用户密码尝试采用了基于时间的节流策略,即限制在一定时间内能够进行的用户密码尝试次数。这有助于阻止对密码的暴力破解 (Brute Force, BF)。
iPhone 的节流策略仅允许最多 10 次用户密码尝试,且随着失败尝试次数增多,每次尝试需等待的时间延迟也相应增长。如果 iPhone 已经历 9 次失败的用户密码尝试,则需等待 8 小时才能进行最后一次允许的密码尝试。iPhone 的节流策略由安全隔区保障。
Pixel 的节流策略允许无限次用户密码尝试,且随着失败尝试次数增多,每次尝试需等待的时间延迟也相应增长。从第 140 次失败的用户密码尝试开始,每次尝试需等待 1 天。在拥有安全元件的 Android 设备上,节流由安全元件保障。在没有安全元件的 Android 设备上,节流策略由其他机制保障。
取证能力
不论是数字取证还是某些间谍软件,类似的复杂数字威胁往往需要破坏手机安全性来达成目的,即利用硬件或软件漏洞。0-day漏洞通常未公开且不为手机制造商所知,也没有安全更新或其他修复方法。数字取证提供商通常有各自的 0-day 漏洞资源储备。n-day 漏洞指已公开,甚至已经有安全更新修复的漏洞。然而,并非所有受影响设备都安装了安全更新,因此 n-day 漏洞常常依然有效。
与间谍软件有时仅通过网络就可发起操作不同,手机数字取证一般都需要获得对手机的物理权限。这包括将手机与取证设备有线连接,并在取证设备上运行特定软件。目前,通过蓝牙、无线局域网 (WLAN) 或蜂窝连接等无线连接进行取证的情况非常罕见。
如果设置了用户密码的手机已锁定且用户密码未知,数字取证的第一步往往是获得加密数据的密钥,从而解密个人数据。在 iPhone 和 Android 设备上,大部分个人数据加密等级为「C 类:首次用户认证前保护」或「凭据加密」。在拥有安全元件的手机上,这类个人数据的加密由安全元件保护,因此解密过程一般只能在该手机上进行,不能将存储芯片单独拆下。在 BFU 状态下,这类个人数据处于加密状态;在 AFU 状态下,其一直处于解密状态,密钥留在内存中。
BFU 状态
一般来说,在突破 BFU 状态下的安全限制后,取证过程会涉及使用暴力破解,即通过在短时间内对用户密码进行多次尝试来“猜”出用户密码,进而获得密钥。尽管节流策略受到安全元件或其他机制的保障,但软硬件漏洞往往会使节流策略失效。在这种情况下,简单的用户密码会很快被暴力破解。如果没有暴力破解,取证过程只能获得少量「D 类:无保护」或「设备加密」等级的个人数据。
根据 2024 年 7 月及更新的文档,Cellebrite1 不能对 iPhone 12 及之后的 iPhone,以及 Pixel 6 及之后的 Pixel 实施暴力破解。而对于 iPhone 11 及之前的 iPhone 以及其余大多数 Android 设备,Cellebrite 则可以突破 BFU 状态下的安全限制并实施暴力破解。
iPhone 取证能力,截至 2024 年 7 月,Cellebrite
iPad 取证能力,截至 2024 年 7 月,Cellebrite
根据 2024 年 10 月的文档,Magnet 的取证产品Graykey2 可以突破 BFU 状态下的安全限制,获取 iPhone 上「D 类:无保护」等级的个人数据。对于 Pixel 之外的 Android 设备,Graykey 在 BFU 状态下的取证能力存在差异。
iPhone 取证能力(部分),截至 2024 年 10 月,Graykey
Android 设备取证能力(部分),截至 2024 年 10 月,Graykey
AFU 状态
处于 AFU 状态下的手机,密钥会持续保留在内存中直至关机。iPhone 和 Android 设备的内存元件均未加密,但受限于手机构造等因素,目前尚未有取证技术提供商采用直接读取内存元件数据的方法。大部分提供商转而尝试突破 AFU 状态下的安全限制,无需暴力破解用户密码,即可直接提取「C 类:首次用户认证前保护」或「凭据加密」及更低保护等级的个人数据。
截至 2025 年 2 月,Cellebrite 无法对 GrapheneOS 进行 AFU 和 BFU 状态下的取证。而对于 iPhone 和其余大多数 Android 设备,Cellebrite 则可以突破 AFU 状态下的安全限制。
GrapheneOS是基于 AOSP (Android Open Source Project) 的操作系统,拥有许多安全和隐私方面的改进。GrapheneOS 目前正式支持 Pixel 6 及之后的 Pixel。
Pixel 取证能力(部分),截至 2024 年 10 月,Graykey
解锁状态
获得加密数据的密钥后,手机可以转为解锁状态,个人数据也会被解密。取证能力提供商可以对处于解锁状态的手机进行全文件系统提取(Full File System Extraction, FFS),获得包括已删除文件、系统文件、应用程序数据和元数据在内的大量个人数据。
截至 2024 年 7 月,对于大多数手机,Cellebrite 可以进行解锁状态下的 FFS。
解锁状态取证能力,截至 2024 年 7 月,Cellebrite
安全对策
操作系统开发者和手机制造商在不断采取措施,包括但不仅限于法律措施和技术措施,来保护设备安全性和个人数据。用户同样可以采取措施来保护个人数据。
安全更新
手机制造商定期发布更新,以修复已知的安全漏洞。用户应保持手机操作系统及固件版本最新。
Apple 大概每月发布一次更新,并注明了当前的最新版本。截至 2025 年 3 月中旬,iPhone 的最新操作系统及固件版本为 18.3.2。未升级到最新操作系统及固件版本的 iPhone 很可能存在未修复的安全漏洞。Apple 有时也为未升级到最新版本的 iPhone 提供安全更新,这些更新包含对一部分安全漏洞的修复。例如,2024 年 11 月 Apple 为 iPhone 发布了 17.7.2 安全更新,而当时 iPhone 的最新操作系统及固件版本为 18.1.1。Apple承诺对较新的 iPhone 提供至少 5 年完整的更新支持。
Android 操作系统每月也会发布更新。截至 2025 年 3 月中旬,Android 的最新操作系统版本为 Android 15 QPR2 (Quarterly Platform Release 2),build ID为 BP1A.250305.019。Pixel 基于完整的 Android 更新每月发布操作系统及固件更新。每月的Android 安全更新是不完整的 Android 更新,仅列出和修复一部分已在对应 Android 更新中修复的严重安全漏洞,并注明了相应的安全补丁级别 (Security Patch Level, SPL)。截至 2025 年 3 月中旬,最新的 Android SPL 为 2025-03-05。每月 Android 安全更新可以独立于 Android 更新被提供给旧版本的设备,因此某些搭载 Android 15 或 Android 14 的设备也可能获得 SPL 2025-03-05。这有助于帮助未能升级至 Android 15 QPR2 (BP1A.250305.019) 的设备缓解严重安全漏洞带来的威胁,但无法为其提供最全面的保护。Google承诺对较新的 Pixel 提供至少 7 年完整的更新支持。Samsung承诺对较新的旗舰机型提供至少 7 年更新支持。
如果手机未安装完整的最新更新,则应被视为不安全。
自动重启
在 BFU 状态下,手机能为个人数据提供比在 AFU 状态下更多的保护。自动重启是将手机转为 BFU 状态的有效手段。在 iOS 18 及更新版本中,iPhone 会在连续3天未被解锁时自动重启。GrapheneOS 提供了相同的功能,可以让用户设置不同的触发时长,这个时长可以比3天更短或更长。
复杂密码
即使手机拥有安全元件,其对暴力破解的防护也可能因为安全漏洞而失效。在 BFU 状态下,足够复杂的用户密码将使得暴力破解变得不可能,无论是否有安全元件和其他安全机制的保护。
一个生成好记且安全的用户密码的方法是使用骰子。请确保生成的用户密码包含 6 个或更多单词。
连接控制
有线连接控制功能通过控制手机以有线方式连接到外部设备的能力,阻止取证设备连接手机。iPhone 提供了阻止锁定时连接新配件的选项,锁定模式会强制开启该选项。但根据 Cellebrite 文档,该功能可能存在漏洞,并不能阻止某些取证设备连接 iPhone。2025 年 2 月 Apple 发布的 iOS 18.3.1 安全更新中包含了相关的修复,目前尚未有新证据表明修复有效。GrapheneOS 提供了锁定时甚至未锁定时阻止配件连接的选项。
在不使用相关功能时,用户可以关闭蓝牙、WLAN 和蜂窝连接等无线连接,以减少这些组件中潜在漏洞被利用的可能性。在 iPhone 上,飞行模式默认会关闭热点、蓝牙、WLAN、超宽带 (UWB) 和蜂窝连接。在某些型号上,用户还可以在前往“设置” >“通用”>“NFC”来关闭 NFC。在 Android 设备上,飞行模式默认会关闭热点、蓝牙、WLAN、UWB 和蜂窝连接;但如果用户同时启用了位置服务,Android 设备仍然可能扫描WLAN 和蓝牙。用户还可以在设置中关闭 NFC 和 UWB。一些新型无线连接,如卫星连接、星闪和 Thread 等,也可以在需要时被关闭。
威胁通知
Apple和Google可能有能力检测到某些用户正遭受复杂数字威胁的针对,并向这些用户发出通知。当接收到这种通知时,用户可以根据提示采取更多保护措施。事实上,只有少数用户会成为数字取证等复杂数字威胁的针对对象。大多数人从不会成为这类攻击的目标。
结语
数字取证技术的不断发展,也从侧面反映了手机安全性的不断提升。这个领域正在快速变化,本文可能无法体现其最新进展。