Cellebrite UFED
華為裝置提取實戰守則

2020-6-28 by 高田鑑識

在過去的三年中,華為行動裝置銷售大幅增長,使其成為全球第三大最受歡迎的手機製造商。 早在 2017 年,華為也是少數幾家率先採用 Android File Based Encryption(FBE)的手機廠商,當時推出的 Huawei P10 和 Mate 10,出廠預設的加密機制皆為 FBE。從那時起,FBE 就成為新的華為行動裝置的加密標準。

Cellebrite 在 UFED 7.8 版本已針對 Kirin 裝置提供了 Decrypting Bootloader 提取機制,可做到物理提取上鎖的 FDE 裝置。而 Cellebrite UFED 在 7.30 版本導入了另一項領先業界的取證技術,使鑑識人員能夠從配備 Kirin 晶片組且採用 FBE 的華為旗艦裝置上,執行 Full File System (FFS) 完整檔案系統提取。

如何選擇適當的提取方式

要為行動裝置選擇最佳的提取方式,您需要確定以下事項:

  1. 確定 SoC 製造商和型號。大多數華為設備皆採用自家開發的 SoC 晶片 (HiSilicon Kirin)。但中低端的華為裝置和平板則配備高通 (Qulalcomm) 或聯發科 (MTK) SoC 晶片組。
  2. 確認裝置的加密機制,是否為 Full Disk Encryption (FED) 或 File-Based Encryption (FBE)。自 2016 年第四季後發表的 Hi-Silicon Kirin 裝置 (例如 Kirin 960) 可能會採用 FBE。 在此日期之前發表的 Kirin 裝置 (例如Kirin 955) 則是 FDE。 識別加密類型的另一種方法是使用 Cellebrite UFED 「 CONSOLE」。 該工具可從「Device Tools」下執行。

圖一、Cellebrite UFED CONSOLE

Full Disk Encryption 62x, 65x, 910, 92X, 93X, and 95X
File Based Encryption 659, 710, 810, 960, 970, 980, and 990

表一、HiSilicon Kirin SoC 加密類別

  1. 裝置是否為上鎖 (Locked) 或解鎖 (Unlocked) 狀態

由於許多新的華為裝置皆使用 FBE,因此在螢幕鎖定的狀態下,不可避免只能採用暴力破解 Passcode,才可將加密的資料解開。雖然 UFED 尚未提供暴力破解功能,但鑑識人員可透過 Cellebrite Premium 或尋求 Cellebrite Advanced Services 的協助來解鎖並提取完整檔案系統 (FFS)。對於部分鎖定的 FBE Kirin 裝置,UFED 有機會可使用 Before First Unlock(BFU)提取出重要資料。

另外,針對中低階採用 MTK 或 Qualcomm 的華為行動裝置,有極高的機率這些裝置皆採用 FDE 加密機制,可透過 Cellebrite UFED 的 MTK Decrypting 或 EDL Decrypting Bootloader 方式物理提取上鎖 (Locked) 的裝置。

確定需要什麼等級的資料

Cellebrite UFED 7.30 提供了 Unlocked 狀態的華為 FBE 裝置中提取完整檔案系統 (FFS) 資料,也可以提取已知裝置密碼的上鎖裝置,差異是在提取的過程中 Cellebrite 會詢問裝置密碼,輸入後即可開始提取作業。以上功能包含採用 Kirin 659、970、980 和 990 晶片組的 FBE 裝置,支援的作業系統為 Android  8 – 9。

Cellebrite UFED 7.30 另一個重要功能是針對上鎖,鑑識人員無法得知裝置密碼的情況下,提供了 BFU 提取的機制。

圖二、BFU 選項

為了協助鑑識人員從華為裝置中獲得最多的證據,建議使用以下提取流程:

圖三、華為 Kirin FBE 提取流程

圖四、華為 Kirin FDE 提取流程

提取版本 UFED 版本 說明 限制
Huawei Decrypting Kirin V1 7.8 針對採用 62x, 65x, 910, 92X, 93X, 95X 晶片組的 FDE 裝置可提供物理繞鎖提取,解鎖的 FBE 裝置可提供完整檔案系統提取 支援至 Android 7.1.1
Huawei Decrypting Kirin V2 7.30 針對採用 659, 960, 970, and 980 SoC,並已解鎖的裝置,可提取完整檔案系統。部分上鎖的裝置有支援 BFU 提取。 Android 8-9 的 FBE 解鎖裝置

表二、Cellebrite UFED Huawei Kirin 版本說明

圖五、華為 Qualcomm 提取流程

提取方式 UFED 版本 說明 限制
APK Downgrade 加強版 7.16 降版後可透過 adb backup 備份 app 的用戶資料
LockPick 7.15 Android FDE 裝置的通用解鎖
  • 最高支援 Android 8.1 的 FDE 裝置
  • 2018年8月(含)之前的 Security Patch 適用
EDL Decrypting Bootloader 7.1 Qualcomm 8916, 8936, 8939, and 8952 SoC 晶片組的通用物理繞鎖提取
  • 需 EDL
  • 支援至 Android 8.1
EDL Decrypting Bootloader 7.5 Qualcomm 8917, 8937, 8940, and 8953 SoC 晶片組的通用物理繞鎖提取
  • 需 EDL
  • 支援至 Android 8.1
  • 需特殊的 Programmer

表三、Cellebrite UFED Huawei Qualcomm 支援說明

圖六、華為 MTK 提取流程

提取方式 UFED 版本 說明 限制
MTK Decrypting bootloader 7.12 MTK 6737, 6755, 6750, 6757, 6799, 6580 SoC 晶片組的物理繞鎖提取
  • 最高支援 Android 8.1 的 FDE 裝置
MTK Live 7.24 MTK 6771, 6765, 6739, 6762 SoC 等晶片組的物理與完整檔案系統提取
  • 最高支援 Android 9 的 FDE 與 FBE 裝置
  • 需知道螢幕鎖

表四、Cellebrite UFED Huawei MTK 支援說明

華為的手機隱私空間

隨著 EMUI 8.0 的推出,華為新增了一個「 隱私空間 – PrivateSpace」的安全容器。 根據華為的說法,該容器提供了一個與正常使用的主空間相隔離的獨立加密空間。存放在此空間的個人資料,主空間的應用程式無法存取,而且兩個空間可以透過不同的螢幕鎖定密碼或生物辨識保護。用戶還可以在隱私空間與主空間之間進行檔案移轉,包括視訊、音訊和圖片這三種檔案。

以下三種快速的方式可確定裝置是否啟用隱私空間

  1. 無開發人員模式 (只有主空間才有)。
  2. 當在主空間,從「Security & Privacy」中點選 PrivateSpace 會帶出「Log-in」選單。
  3. 當隱私空間啟用,從「Security & Privacy」中點選 PrivateSpace 可設定。

圖七、主空間登入至隱私空間 – 設定

圖八、隱私空間設定