行動裝置加密技術
演進過程

2022-4-26 高田數位鑑識

為了保護使用者隱私與確保資料安全性,近幾年行動裝置出廠後資料加密功能為標配規格。早期在行動裝置中,加密技術普遍應用於 APP 層級,以保護個人資料,例如曾經花了好幾個篇幅說明的 Android wechat 資料庫。然而,隨著對安全和隱私的關注日益增加,不管是 iOS 或 Android 裝置,近年來 FBE (File Based Encryption) 加密技術已在硬體與作業系統層級緊密整合,在無法解開裝置螢幕鎖的情況下,即使硬體製造商也無法讀取使用者裝置上的資料。

行動裝置上的加密機制

  1. FDE (Full Disk Encryption):FDE 加密方式 Apple 與 Android 皆有提供。在 Apple 裝置中,FDE 最早是在 iOS 3.x 的 iPhone 3 GS 中導入。在 Android 裝置中,FDE 則在 Android 4.4 中導入,並且一直支援至 Android 9 版本。
  2. Secure Startup:Android 因 FDE 設計上安全性不足另提供的 FDE 加強版。
  3. FBE (File Based Encryption):Apple 在 2014 年推出 iOS 8 之後,所有裝置皆已採 FBE 進行檔案加密。而 Android 一直到 2016 年推出 7.0 版本後才支援 FBE,但一直到 Android 10 之後出廠預設的加密機制才是 FBE。

圖、Android 各版本支援的加密機制

根據過往一年的 StatCounter 資料,市場上超過 90% 的 Android 裝置已採用高於 Android 7 的作業系統版本。 這意味著在當鑑識人員對 Android 裝置進行資料提取時,裝置內的資料皆已是加密狀態。因此,早期的低階 (low-level) 提取方式,ISP/JTAG/Chip-off ,即便有辦法採用物理提取方式完整複製內容,但無相對應的金鑰解開加密資料,裝置裡的內容也無法被解析。

Source: StatCounter Global Stats - Android Version Market Share

加密機制說明

FDE 加密機制

FDE 使用一個加密金鑰搭配硬體 uid 對整個用戶資料分區進行加密的技術,如下圖所示。

圖、FDE 說明

Secure Startup 加密機制

Secure Startup 與 FDE 唯一的差別是其中一個加密密碼,FDE 加密機制預設使用「default_password」;當啟用 Secure Startup 後,使用者可自行定義該加密密碼。但裝置重新開機後只要使用者還未輸入密碼,使用者分區的資料系統也無法讀取。最好的例子為鬧鐘,只要在裝置在深夜有重開機,系統因無法讀取使用者設定的鬧鐘資料,結果造成使用者生活上的不便。

圖、Secure Startup 說明

FBE 加密機制

FBE 採用更完整的加密保護機制,所有的檔案皆有獨立、不重複的加密金鑰對檔案進行加密保護處理,有關 FBE 的運作機制,可參考 「如何竊取iPhone資料? iOS 資料保護機制簡介」有完整的說明。

圖、iOS FBE 說明

解決方案 – Cellebrite Premium ES

Premium Enterprise 為 Cellebrite 新的用戶端解決方案,旨在提供鑑識人員當面對採用 FBE 加密技術之 iOS 與 Android 裝置,支援解鎖並使用完整檔案系統 (Full File System) 提取關鍵資料。而針對使用 FDE/Secure Startup 的 Android 裝置,支援繞鎖/解鎖和物理提取。

Premium Enterprise 強大的解除裝置螢幕鎖功能,減少無法存取裝置內容導致調查時間延誤。隨著智慧型裝置系統與安全性的不斷更新,螢幕鎖與內建加密機制日漸複雜,提取 iOS 和 Android 裝置資料將越來越困難。

Premium Enterprise 為當目前市場上唯一能夠利用網路連動方法,解鎖並採用完整檔系統提取最新 iOS 裝置的解決方案,另支援多款 Android 旗艦裝置繞鎖和物理提取。相較於邏輯提取,完整檔案系統和物理提取可取得更多重要資料,包括 iOS Keychain、安全資料夾 (Secure Folder)。

存取第三方 APP 數據、儲存的密碼和 token、聊天內容、位置訊息、電子郵件附加檔案、系統日誌以及刪除的檔案內容,有助於鑑識人員全面地蒐集數位證物。

iOS 數據提取主要功能

Android 數據提取主要功能

Premium ES 運作方式

Cellebrite 提供領銜業界的數位鑑識產品,透過 Premium ES 中央管理機制,協助各地鑑識人員獲取各種裝置內的關鍵數據,提升提取效率,並確保證據鏈之完整性