Cellebrite UFED
華為裝置提取實戰守則
2020-6-28 by 高田鑑識
在過去的三年中,華為行動裝置銷售大幅增長,使其成為全球第三大最受歡迎的手機製造商。 早在 2017 年,華為也是少數幾家率先採用 Android File Based Encryption(FBE)的手機廠商,當時推出的 Huawei P10 和 Mate 10,出廠預設的加密機制皆為 FBE。從那時起,FBE 就成為新的華為行動裝置的加密標準。
Cellebrite 在 UFED 7.8 版本已針對 Kirin 裝置提供了 Decrypting Bootloader 提取機制,可做到物理提取上鎖的 FDE 裝置。而 Cellebrite UFED 在 7.30 版本導入了另一項領先業界的取證技術,使鑑識人員能夠從配備 Kirin 晶片組且採用 FBE 的華為旗艦裝置上,執行 Full File System (FFS) 完整檔案系統提取。
如何選擇適當的提取方式
要為行動裝置選擇最佳的提取方式,您需要確定以下事項:
- 確定 SoC 製造商和型號。大多數華為設備皆採用自家開發的 SoC 晶片 (HiSilicon Kirin)。但中低端的華為裝置和平板則配備高通 (Qulalcomm) 或聯發科 (MTK) SoC 晶片組。
- 確認裝置的加密機制,是否為 Full Disk Encryption (FDE) 或 File-Based Encryption (FBE)。自 2016 年第四季後發表的 Hi-Silicon Kirin 裝置 (例如 Kirin 960) 可能會採用 FBE。 在此日期之前發表的 Kirin 裝置 (例如Kirin 955) 則是 FDE。 識別加密類型的另一種方法是使用 Cellebrite UFED 「 CONSOLE」。 該工具可從「Device Tools」下執行。
圖一、Cellebrite UFED CONSOLE
| Full Disk Encryption | 62x, 65x, 910, 92X, 93X, and 95X |
| File Based Encryption | 659, 710, 810, 960, 970, 980, and 990 |
表一、HiSilicon Kirin SoC 加密類別
- 裝置是否為上鎖 (Locked) 或解鎖 (Unlocked) 狀態。
由於許多新的華為裝置皆使用 FBE,因此在螢幕鎖定的狀態下,不可避免只能採用暴力破解 Passcode,才可將加密的資料解開。雖然 UFED 尚未提供暴力破解功能,但鑑識人員可透過 Cellebrite Premium 或尋求 Cellebrite Advanced Services 的協助來解鎖並提取完整檔案系統 (FFS)。對於部分鎖定的 FBE Kirin 裝置,UFED 有機會可使用 Before First Unlock(BFU)提取出重要資料。
另外,針對中低階採用 MTK 或 Qualcomm 的華為行動裝置,有極高的機率這些裝置皆採用 FDE 加密機制,可透過 Cellebrite UFED 的 MTK Decrypting 或 EDL Decrypting Bootloader 方式物理提取上鎖 (Locked) 的裝置。
確定需要什麼等級的資料
Cellebrite UFED 7.30 提供了 Unlocked 狀態的華為 FBE 裝置中提取完整檔案系統 (FFS) 資料,也可以提取已知裝置密碼的上鎖裝置,差異是在提取的過程中 Cellebrite 會詢問裝置密碼,輸入後即可開始提取作業。以上功能包含採用 Kirin 659、970、980 和 990 晶片組的 FBE 裝置,支援的作業系統為 Android 8 – 9。
Cellebrite UFED 7.30 另一個重要功能是針對上鎖,鑑識人員無法得知裝置密碼的情況下,提供了 BFU 提取的機制。
圖二、BFU 選項
為了協助鑑識人員從華為裝置中獲得最多的證據,建議使用以下提取流程:
圖三、華為 Kirin FBE 提取流程
圖四、華為 Kirin FDE 提取流程
| 提取版本 | UFED 版本 | 說明 | 限制 |
|---|---|---|---|
| Huawei Decrypting Kirin V1 | 7.8 | 針對採用 62x, 65x, 910, 92X, 93X, 95X 晶片組的 FDE 裝置可提供物理繞鎖提取,解鎖的 FBE 裝置可提供完整檔案系統提取 | 支援至 Android 7.1.1 |
| Huawei Decrypting Kirin V2 | 7.30 | 針對採用 659, 960, 970, and 980 SoC,並已解鎖的裝置,可提取完整檔案系統。部分上鎖的裝置有支援 BFU 提取。 | Android 8-9 的 FBE 解鎖裝置 |
表二、Cellebrite UFED Huawei Kirin 版本說明
圖五、華為 Qualcomm 提取流程
| 提取方式 | UFED 版本 | 說明 | 限制 |
|---|---|---|---|
| APK Downgrade 加強版 | 7.16 | 降版後可透過 adb backup 備份 app 的用戶資料 | |
| LockPick | 7.15 | Android FDE 裝置的通用解鎖 |
|
| EDL Decrypting Bootloader | 7.1 | Qualcomm 8916, 8936, 8939, and 8952 SoC 晶片組的通用物理繞鎖提取 |
|
| EDL Decrypting Bootloader | 7.5 | Qualcomm 8917, 8937, 8940, and 8953 SoC 晶片組的通用物理繞鎖提取 |
|
表三、Cellebrite UFED Huawei Qualcomm 支援說明
圖六、華為 MTK 提取流程
| 提取方式 | UFED 版本 | 說明 | 限制 |
|---|---|---|---|
| MTK Decrypting bootloader | 7.12 | MTK 6737, 6755, 6750, 6757, 6799, 6580 SoC 晶片組的物理繞鎖提取 |
|
| MTK Live | 7.24 | MTK 6771, 6765, 6739, 6762 SoC 等晶片組的物理與完整檔案系統提取 |
|
表四、Cellebrite UFED Huawei MTK 支援說明
華為的手機隱私空間
隨著 EMUI 8.0 的推出,華為新增了一個「 隱私空間 – PrivateSpace」的安全容器。 根據華為的說法,該容器提供了一個與正常使用的主空間相隔離的獨立加密空間。存放在此空間的個人資料,主空間的應用程式無法存取,而且兩個空間可以透過不同的螢幕鎖定密碼或生物辨識保護。用戶還可以在隱私空間與主空間之間進行檔案移轉,包括視訊、音訊和圖片這三種檔案。
以下三種快速的方式可確定裝置是否啟用隱私空間:
- 無開發人員模式 (只有主空間才有)。
- 當在主空間,從「Security & Privacy」中點選 PrivateSpace 會帶出「Log-in」選單。
- 當隱私空間啟用,從「Security & Privacy」中點選 PrivateSpace 可設定。
圖七、主空間登入至隱私空間 – 設定
圖八、隱私空間設定
