https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

從手機鑑識談行動威脅(上)如何挑選安全手機?

2014 / 06 / 09
黃敬博
從手機鑑識談行動威脅(上)如何挑選安全手機?

近幾個月來打開電視報紙或各種網路媒體,常可看到手機簡訊詐騙事件的報導,此類事件層出不窮,似乎繼電話詐騙後成為國內每個智慧型手機使用者最常遭受到的誘騙經驗,也成為當前執法單位極力打擊的犯罪手法。根據筆者本身在5月底一週內所接受到的類似詐騙簡訊即有3通,尤其筆者剛回國打開手機所收到的簡訊第一通即為黑貓宅急便的詐騙簡訊(其氾濫程度可想而知),此通簡訊並未列出筆者之姓名,但來源為普通之手機電話,可推想某個倒霉的人手機遭植入詐騙程式付了上百通簡訊費用成為犯罪者的轉發工具,其中最大的受益者除了犯罪人利用電信小額付費機制詐騙取財外,其實電信業者本身也是主要的受益對象,除可賺取交易平台的成交費還有大量的簡訊通訊費,這也難怪各家業者可於源頭上預防及改進的方式,並未如想像中的積極。

而另外所收到的兩則詐騙簡訊則帶有筆者之姓名,代表某種層度上的筆者個資已經落入犯罪集團手中,可見在頻繁使用的手機社交及通訊網路中,只要有一人因不慎成為歹徒的得手對象也會影響至其它週遭的社群好友。本篇文章將分享以往在處理手機鑑識中的各項經驗,建議大家如何挑選安全的手機,而下篇則從手機惡意程式分析、反組譯分析及分析工具介紹,供研究人員參考。

手機 Root 或 JB (Jailbreak)之探討
以目前國內所使用的智慧型手機還是以Android及iOS兩大作業系統平台為主,在Android平台中將系統破解取得最高權限統稱為Root ,而在iOS 平台則稱呼為JB(Jailbreak)或越獄,由於取得最高權限之後則可以對系統進行任何的改裝及寫入原本受保護的系統檔案及路徑,因此對於玩家等級的人可以針對某些限制進行開通(例如改變iPhone開機的蘋果為橘子、改變網路分享可側錄封包、或將原本無法安裝的App裝入系統…等),對於手機平台開發者、資安研究者或程式撰寫者,筆者相當鼓勵進行有關此方面的研究,因為在進行許多程式的動態分析時往往會利用到此相關之技術(下篇文章說明),如下圖1 即整理出各Apple系列手持式設備中可安裝之iOS作業系統版本,參照各版本目前的JB狀況(註1), 則可找到對應的工具進行JB,但在Android系統中反而因為每家的手機品牌、型號及所搭配的作業系統版本不同,其Root的方式亦不相同,因此反而在Android平台中其Root的方式會有些差異也較無一定方式,但同樣對於Root及JB過後的手機,由於系統最高權限保護機制已被開啟,因此當被植入惡意程式時的後果則可能極為嚴重,從實務鑑識經驗中曾發現手機遭JB後受長期監控案例,類似狀況發生後手機內的隱私將無所遁形(電話錄音、簡訊內容轉寄、GPS追踨、照片及各種手機通訊軟體內容及朋友分享資訊…等)。

圖1. iOS適用於各Apple設備清單  (資料來源:http://iossupportmatrix.com/)

因此無論如何,再厲害的玩家也不建議把個人平日使用之手機進行JB或Root,因為没人知道下一個零時差的漏洞會何時出現,此部份已非個人良好使用習慣或任何防禦機制所能避免,因為被JB或Root過的手機可取得最高權限,相對若有新的駭客攻擊能找出未被查覺的系統或應用程式漏洞,則原本被系統限縮的執行權限將因此擴大成為RootKit等級攻擊,其受害程度也會更加嚴重。

挑選 Android 或 iOS系列平台
先撇開價格及機種多樣性的功能角度,若單純從資訊安全角度來討論,筆者建議目前仍舊是使用iOS平台會相對安全許多,以此次詐騙簡訊的案例來說,被詐騙者畢竟要安裝犯罪者所提供之惡意程式才能發生作用,其過程可能會利用各種社交工程的手段來誘使使用者忽略各種安裝的警示,但最大的問題還是因為在Android平台中允許未知來源的應用程式可進行安裝,因此當使用者在還没弄清楚狀況一直按“確定”時,則最後即導致植入詐騙程式的結果,而iOS平台由於無法安裝任何未經Apple公司認證之應用程式,因此不會有犯罪者投資設計一個無法得逞的程式,雖然也發現少部份利用iOS系統或程式驗證的漏洞來產生入侵的案例事件,但畢竟在平台的設計上Apple採用封閉式的設計,雖減少了自由性但也因此增加Apple公司的安全管控性,所有應用程式基本上在iOS的平台上執行,已被限制在既定虛擬執行環境的框架中無法跨越而影響系統或其它程式,反觀Andorid在設計上則採開放的觀念,使用者安裝未被認證的程式,雖可能系統會出現警示,但最終使用者仍舊可能把一個惡意程式植入而不自知。

另外在漏洞的防堵上,畢竟封閉的環境比起開放的環境要容易許多,許多iOS的愛好者常於發現新的JB漏洞時,很快Apple公司在新的iOS版本就把漏洞給補起來,特別iPhone手機從4S之後在硬體內加了加密晶片,在軟硬體的加密保護上比Android要嚴謹許多,因此在實務處理經驗中,iPhone4S以後的手機資料分析方式則開始有極大的不同及挑戰,但對使用者來說,則建議至少要更新至iPhone4S機種才算安全,而Android平台則建議更新版本至4.2以上且關閉未知來源的安裝選項(註2)。

手機硬體的挑選-品牌的重要性
手機硬體的挑選也將影響整體資料保護的安全性,如下圖2為筆者基於好奇最近於大陸所購買的山寨iPhone5S,與真正的iPhone5S相比較,由外觀及軟體的介面上來看,您可能無法馬上分別,因為就連同預設的ICON及操作方式均完全一樣,但山寨的iPhone5S其實為Android的作業系統並非iOS作業系統,其上面有AppStore也可找到KKBox, 筆者下載後操作起來與所使用的KKBox並無不同,但當要求輸入登入帳號/密碼時,您會決定要輸入還是不輸入?根據以往的分析經驗,許多非知名的智慧型手機或平板電腦均採用Android作業系統,內建預設會連結到大陸未知的Market,可找到各種新奇好用的應用程式或遊戲,但這些未知來源的應用程式很多已遭駭客植入惡意程式,當你安裝此類程式時往往帳號/密碼很快即被盜取。國人Line帳號遭盜用的狀況最為普遍,很多即為安裝手機出貨時在作業系統中預設的大陸Market所下載的應用軟體,目前Google Play為Google認可的Android應用軟體下載區,但如同筆者所拿的山寨iPhone5S 其上面所顯示的AppStore必然非Apple公司的認證應用軟體下載區,同樣對於未知名品牌Android手機或平板電腦,其相同ICON 的Google Play下載區難保不是另一個山寨版的Google市集?因此對於可能在Android作業系統中所遭遇的類似風險,手機品牌的挑選是一個最直接安全的簡單方法,挑選愈國際化的品牌愈安全。

圖二. 山寨iPhone5S的軟硬體外觀  (圖片來源:本文作者提供)

手機硬體的挑選-外接式記憶卡
手機中常常可加裝外接式記憶卡,此記憶卡其實最主要是用於儲存使用者所拍攝的照片或影音檔,因此可方便如同數位相機般直接拿出記憶卡來沖洗照片,但方便的同時也存在不小風險,因為由筆者的鑑驗經驗中,有些軟體即可放入記憶卡並啟動執行,且執行後其擷取的手機個人資料(通聯紀錄、照片、通訊錄、應用軟體對話紀錄...等)全都儲存於記憶卡內,其動作就如同早期的USB隨身碟的病毒,只是此類惡意程式的感染目前還不普遍但已確實成為另一個可能感染的來源,前題必需要能實體接觸手機記憶卡才能有機會,所以在挑選手機時也可考慮是否只需內建記憶體而無需有任何可加裝外接式記憶卡之介面。

以上從作業系統、硬體等面向來探討智慧手機的安全,下篇文章將深入介紹手機惡意程式的行為分析、手機資料分析工具、APP應用程式反組譯分析等,提供有興趣的研究人員閱讀。

註1:可參考http://en.wikipedia.org/wiki/IOS_jailbreaking 詳列各個iOS版本JB狀況及所使用之工具。
註2:Android 4.2以上的版本,會有「Premium SMS Control」,如果有APP應用程式要自行發送簡訊會跳出警告。

本文作者為資深鑑識顧問,為Cellebrite 手機鑑識及EnCase 數位鑑識原廠認證講師,曾受訓於美國及瑞典XRY等相關手機鑑識訓練