從數位鑑識角度探討個人資料保護觀念(一) – 手機裡藏有你所不知道的事

前陣子在電視媒體上看到一則新聞，內容大致是說一位民眾自通訊行取回送修的手機時，赫然發現手機通訊錄裡出現陌生人的姓名與電話，這到底是怎麼回事？難道通訊行拿錯手機？這是一個典型的資訊外洩案例發生在通訊行，手機送修後，出現與自己不相干的資訊，這是怎麼發生的呢？一般民眾手機故障送修時，通常直接送到通訊行維修，潛在的資料外洩危機也就在此狀況下發生。

手機化身超迷你電腦 內含眾多個人資料 

從手機的硬體結構來看，它就像一台超迷你電腦，核心有中央處理器(CPU)執行預先規劃好的程式，還有主記憶體(Main Memory)儲存執行中的資料，以及快閃記憶體(Flash Memory)或記憶卡儲存作業系統和程式。

手機開機後，先從快閃記憶體或記憶卡載入作業系統，如果要打電話，則從電話簿通訊名單裡找到要撥打的對象並按下撥號鍵，而這些電話簿通訊名單通常儲存在以下三個地方：1.門號的SIM卡、2.手機內建的快閃記憶體或內建記憶卡、3.手機擴充槽的記憶卡。在撥打電話時，手機的作業系統會執行撥號程式，將電話號碼載入主記憶體並開始撥打電話，無論通話有無成功，撥號程式都會在通話結束時，將此通話的起始時間、通話時間、通話號碼記錄在快閃記憶體或內建記憶卡（這就是儲存在手機內的通聯記錄）。

主記憶體所儲存的資訊，通常在手機關機後就會立即消除，至於快閃記憶體、內建記憶卡或擴充記憶卡等類別的記憶體，其所儲存的資訊在手機關機後仍可保存，且儲存資料的結構類似於硬碟，因此就算資訊被使用者刪除掉，仍有機會可以復原。

鑑識人員想知道的事

當鑑識人員在進行手機鑑識時，手機若是處於開機狀態（稱之為live），鑑識人員會設法讓手機保持此狀態，並利用工具將手機的主記憶體進行記憶體傾印(memory dump)，從傾印的資料當中找出有關通聯記錄、簡訊或影音等殘留資訊；但若手機是在關機狀態下，鑑識人員則會對快閃記憶體或內建記憶卡進行記憶體傾印，若有擴充記憶卡則直接取出，除了找尋與開機狀態下相同的資訊外，還會設法將刪除但未被覆蓋的通聯記錄、電話簿、簡訊等殘留於記憶體中的資訊取出。

無論是開機狀態或關機狀態下，所要取出的資訊無外乎是通聯記錄、電話簿、簡訊等，再從這些資訊中找出關聯性；因此可想而知若我們將手機送修，無論手機有沒有開機，都有很高的機率洩露與自己相關的電話簿、簡訊等資訊。況且，這些都還只是一般陽春手機所能提供的資訊，目前有許多結合照相、收發電子郵件等功能的智慧型手機，可以儲存照片、影音串流媒體檔案、電子郵件、甚至Office文件等等，幾乎與一台電腦無異，只是螢幕大小不同罷了，智慧型手機所蘊藏的豐富資訊量，再再意味著其資訊外洩風險尤甚於傳統手機。

手機遺失  資料外洩的另一個管道

除了將手機送通訊行維修，可能會面臨資料外洩的風險，使用者如果遺失手機或遭竊，損失的不僅僅是手機本身，手機內所儲存的資料同樣有遭人盜用的風險，舉一個發生在我老婆（以下簡稱為A小姐）身上的真實故事來談。

幾年前的某天，A小姐接到一通來自同學手機撥來的電話，電話那頭傳來急促的呼吸聲，說目前人在醫院要辦出院手續，但是身上沒有足夠的現金，也聯絡不上自己的家人，想請A小姐轉一筆錢到她戶頭幫忙，雖然此人的聲音和A小姐同學的聲音實在很像，但是A小姐的同學從未跟她借過錢，加上先前政府努力宣導防詐騙，使得A小姐感到有些懷疑，於是撥打電話至同學家中找人求證，發現她數周前就已經遺失手機，由此來看，撿到手機的人應該詳細分析了手機裡儲存的資訊，不僅知道持有者的姓名，還知道哪些是同學聯絡清單，進而起了歹念想藉機詐騙。

防範手機個資外洩小秘訣

鑒於上述分析資訊，相信每個手機持有人不可不謹慎，以下列出幾個簡單的方法，用來降低手機的個資外洩風險：

1.手機最好開啟SIM卡密碼保護功能，如此一來，除非有專業的鑑識工具進行SIM卡密碼破解，否則即便將SIM卡更換到另一支手機，也需要解開密碼才能取得SIM卡內的資訊；

2.若手機內存有重要資料，建議開啟手機待機一段時間自動密碼鎖的功能，甚至有些手機還提供更換SIM卡鎖定功能，雖然會增加使用上的不方便，但至少可確保手機遺失時的資料安全，一旦手機進入待機自動上鎖狀態，除非輸入正確密碼，否則無法取得手機資訊；

3.當手機準備送修時，第一個步驟應是取出SIM卡、擴充記憶卡並關機，同時確認快閃記憶體或內建記憶卡沒有儲存相關重要資料，才能將手機送修；

4.若已執行上述第三個步驟，仍有手機送修時的安全疑慮，可以先備份手機內的資料，刪除手機內的電話簿、簡訊等資料，再將手機關機，取出擴充記憶卡及SIM卡後再送修；這麼做在手機修復後，必須自行將備份資料倒回至手機內，雖然比較麻煩，但也強化了資料安全保護的能力。

（本文作者現任職於系統整合公司）