了解 Android FBE 與 FDE 差異
並提升 Premium 與 CAS 提取成功機會
2020-3-19 by 高田鑑識
若在取證的過程中遇到瓶頸,如何分辨 FBE 與 FDE with Secure Startup 的裝置,並知道是否 Premium 或 CAS 服務可支援提取?
![Android Version](https://www.kaotenforensic.com/wp-content/uploads/2019/07/Android-Version.png)
圖一、Android 作業系統與加密機制對應
從圖一可得知,Android 9 之後皆採用 FBE 加密機制,對取證同仁最大的影響是 FBE 最高僅能做到「完整檔案系統」提取,物理提取已不再是一個選項。而介於 Android 7 與 8 之間的裝置,則有可能是 FDE 或 FBE,這時可以藉由裝置螢幕畫面來辦別,是否有啟動 FDE with Secure Start-up。若是更早期版本,可能僅有啟用 FDE 而沒有 Secure Start-up。
華為 – FBE (File Based Encryption)
以下先以華為的裝置來說明,左邊的裝置屬於冷開機(Cold)狀態,既重開機完後用戶尚未解開螢幕鎖「 BFU(Before First Unlock)」。當「螢幕鎖」尚未被解開時,在 Credential Encrypted (CE) storage 內的用戶資料皆屬於加密狀態,僅有 Device Encrypted (DE) Storage 的系統檔案或是特定 APP 是未加密並可讀取狀態 (如鬧鐘、電話或開發者自行決定不需要 AFU 等級保護的 APP)。
![Huawei FDE-SecureStartup](https://www.kaotenforensic.com/wp-content/uploads/2019/07/Huawei-FDE-SecureStartup.png)
圖二、華為 FBE 冷開機與熱開機差異
而冷開機狀態的裝置,僅能透過暴力破解方式才有機會提取。若為熱開機狀態裝置,則 Premium 可在「螢幕鎖」未解開狀態下完成提取。
Samung A20 (2019) – 所有的裝置皆為FBE
Samsung A20 出場時皆已採用 FBE 加密機制,左邊的範例為冷開機狀態,螢幕上會有一個小「P」的符號,或下拉後會出現裝置已重開機訊息。這個狀態的裝置只能藉由暴力破解才有機會提取。
右邊的裝置為熱開機狀態,快速辨別的方式為左下與右下有「電話」與「相機」的符號,並且無小「P」符號。Premium 可提取出 AFU 狀態下的檔案。
![LG FDE SecureStartup](https://www.kaotenforensic.com/wp-content/uploads/2019/07/LG-FDE-SecureStartup.png)
圖三、LG FBE 冷開機與熱開機差異
三星、LG – FDE with Secure Start-up
接著為 FDE with Secure Start-up 狀態的裝置。該加密特性,開機後 Android 作業系統並未載入,因此與一般開機畫面有很大不同,可輕易辨識。
三星冷開機後畫面大多數底圖為黑色,而 LG 則為白色。三星或 LG 皆需採用暴力破解方式才可取證,唯獨 LG 的裝置並不是每一隻都可藉由 Premium 或 CAS 提取,建議可先使用 Premium 嘗試提取,若失敗再與高田洽詢 CAS 是否有支援。
圖四、三星、LG FDE with Secure Start-up