导语:在当今的信息交流中,消息传递并不完全是基于文本的,还包括用户交换的图片、短视频、语音以及他们当前的位置。这类型的数据是会话历史的重要组成部分,它们可以像聊天的文本内容一样成为有价值的证据。
在当今的信息交流中,消息传递并不完全是基于文本的,还包括用户交换的图片、短视频、语音以及他们当前的位置。这类型的数据是会话历史的重要组成部分,它们可以像聊天的文本内容一样成为有价值的证据。
苹果生态系统提供了一个内置的消息传递工具——imessage,允许用户在苹果设备之间交换消息。这个内置的imessage在苹果用户中非常流行,早在2016年,苹果公司的高级副总裁就宣布imessage每秒钟发送的消息就达20多万条。
所有当前版本的iOS都为文本数据和非文本数据提供了实时的iCloud同步,从iOS 11.4开始,苹果的所有设备都可以通过iCloud同步消息。目前,imessage和短信都可以存储在用户的iCloud账户中,并在共享相同Apple ID的所有用户设备上同步。另外,通话记录、iCloud照片库或iCloud联系人也可以同步,不过就是同步时间(相较于imessage信息)要靠后一些。然而,在满足LE请求或GDPR请求时,苹果既不会提供消息源,也不提供它们的附件。为什么会发生这种情况,如何从iCloud账户提取消息,我们又可以在消息附件中找到什么样的证据?这就是我们这篇文章要讲的。
欧盟GDPR颁布的一个主要目的即在于对数据的充分保护,主要涉及数据处理程序的前、中、后三个阶段。同时,由于数据类型的纷繁复杂使得数据保护难度颇大,特别是其中相对属于特殊类型的个人数据,欧盟GDPR更是以专门条款对其相关内容进行了明确规定。
iCloud内容的提取
由于imessage采用的是端到端的加密过程,因此消息在传输过程中会受到安全保护。那些同步到iCloud的内容的安全性呢?苹果表示,存储在用户iCloud账户中的数据是安全加密的。另外,苹果还存储加密密钥,这使得该公司有可能向执法机构提供他们所需的数据和GDPR所要求的数据。根据欧盟GDPR规定,在满足特定条件时,个人数据仍能够进行相关操作。首先,数据主体明确同意的情形下,数据控制者可以对特殊类型的个人数据进行相关必要的处理。其次,若基于侦查犯罪的需要,在必须使用的情形下,为了公共利益及国家利益的维护,该特殊类型的个人数据同样需要在未经数据主体同意的情形下被使用。因此,对于特殊类型的个人数据,欧盟GDPR既有原则性的规定以保证数据主体的权益受到最大程度的保护,同时又给予了各成员国一定的自由裁量范围以更加灵活的兼顾数据保护及数据处理二者之间的关系。
不过根据目前的实际情况, iCloud的消息和任何附件内容都是不适用于GDPR规定的,且任何人都无法从技术层面上盗取这些信息,因为苹果使用了额外的AES256加密来保护同步信息。另外,加密密钥会使用用户的设备密码(iOS设备)或系统密码(macOS设备)重新加密,即使用户在多个关联的设备上注册了不同的密码,则还是可以使用同一个加密密钥解密不同的设备。此外,消息将只同步具有双因素身份验证的帐户。
iMessage消息附件的提取
iMessage实际上是许多iPhone用户选择的即时通讯工具。《商业内参》(Business Insider) 称:
在美国年轻人中,苹果iMessage的使用量已经超过了Facebook Messenger和Snapchat。目前,美国青少年使用iMessage的次数比其他任何社交平台都要多。
另外Hacker Noon网站的Guiseppe Stutto说:
iMessage是一个面向青少年的社交平台,现在已经成了社交的中心。虽然他们仍然会花很多时间在Instagram、Snapchat、Tumblr或其他应用上,但目前iMessage所占的份额却是越来越大,不管是单聊还是群聊。
作为狂热的iPhone用户,研究人员对iMessage的安全性进行了各种测试。在对一个测试的iCloud账户进行取证分析时,研究人员调取了17万条信息,其中包含超过7千兆字节的消息附件,这些信息都是很有价值的。虽然iMessage本身不包含位置信息(除非用户共享他们的位置),但附件通常是在iMessage发送之前用iPhone相机拍下的照片,由于每张照片都带有EXIF标签,因此要分析出用户的位置信息也不是很难。
同步消息和云备份的提取
早在2011年,iCloud备份就是Apple新推出的首批云平台服务中的一个。从那时起,许多事情发生了变化,云备份最多每天创建一次,由于Apple的免费iCloud空间只有5 GB,对于许多用户而言,因此可能根本不会创建它们。 Apple生态系统的增长意味着用户拥有多台Apple设备的概率很高,因此,Apple继续将iCloud备份转移到共享的可同步数据中。例如,一旦用户启用iCloud照片库,他们所有的照片就会自动上传到iCloud中,并与使用同一Apple ID注册的所有设备同步。
根据Apple的说法:
当你启动iCloud照片库时,你的照片和视频会自动上传到iCloud,且iCloud备份不会重复。
消息同步也是如此,根据https://support.apple.com/en-us/HT208532和https://support.apple.com/en-ca/HT207428,一旦用户在iCloud中启用消息同步,无论是文本消息还是消息附件都不会存储在他们的iCloud备份中。当你在iCloud […]中使用消息同步时,你的内容将自动存储在iCloud中,这意味着它们就不会包含在你的iCloud备份中。
为什么LE和GDPR请求不适用于iCloud内容的取证
通过LE或GDPR请求获得的信息中,并不包括iCloud内容。具体的原因如下:据苹果公司称,由于加密的原因,他们自己也无法访问用户的信息。苹果表示:
由于用户的信息会在他们的设备上加密,如果没有设备密码,任何人都无法访问用户信息。
如前所述,一旦用户在iCloud中启用消息,消息和附件都不会存储在iCloud备份中。因此,只能使用第三方取证软件从云中提取消息,但提取和解密消息得需要用户的Apple ID登录名、密码、双因素验证码和设备密码(屏幕锁定密码)。
从苹果iCloud下载消息和其他内容
为了从iCloud中提取消息和附件内容,取证人员需要使用Elcomsoft Phone Breaker 8.40或更新的版本。如果你使用的是Windows电脑,你必须安装iCloud。Mac用户必须拥有macOS 10.11或更新的版本。访问消息的步骤如下所示:
设备配置
3.苹果的登录ID和密码;
4.第二身份验证因素(the second authentication factor)(使用同一苹果账户注册的SIM卡、iPhone或iPad设备),注意:由于GS身份验证,用户只需要提供一次第二身份验证因素即可。然后,计算机就会信任你,在随后的证据提取中,将不会询问第二身份验证因素。
5.需要至少一个注册到与iMessage 同步的设备的密码(iPhone/iPad)或系统密码(Mac);
从iCloud提取消息的步骤
1.启动Elcomsoft Phone Breaker,选择Apple >从iCloud下载 >同步数据;
2.指定用户的Apple ID和密码;
3.提供一次性代码以通过双因素身份验证;
4.选择要从iCloud获取的数据,确保选中了“Messages”选项;
5.Elcomsoft Phone Breaker将登录用户的苹果账户,选择你知道密码或系统密码的受信任设备,并输入登录密码。
6.消息会被下载,下载消息之后,单击“完成”。或者,你也可以设置“在EPV中打开”时钟,以便在Elcomsoft Phone Viewer中自动打开下载的数据。另一种选择是使用“浏览文件”链接,来验证已下载的文件。
7.你现在可以使用Elcomsoft Phone Viewer来分析下载的消息。
8.单击“Messages” 选项打开消息和附件列表。
此时,要提取的媒体文件就会以缩略图的形式呈现出来,你可以预览它们。单击预览旁边的放大就可以访问原始文件,或单击“保存”以保存为文件。你可以应用许多消息选择项,来显示在一定时间范围内发送或接收的消息,或者仅显示具有特定类型附件的消息(例如,仅显示带有照片的消息)。