Android手機與計算機間的”信任關係”

Android手機與計算機間的”信任關係”

在iDevices(如iPhone、iPad等等)的取證方面，那個代表”信任關係”的plist無疑是最為關鍵的跡證，只要有了它，哪怕是最新機型的iDevice及最新版的iOS，且有著指紋保護或passcode保護，取證人員都能利用這plist在取證工作站上建立與犯嫌的iDevices間的”信任關係”，接著便可順利進行iDevice的提取了。



那在Android手機上有無上述iPhone取證上如此關鍵的跡證可供利用呢？我們來看看一支Android手機在以USB線連入計算機時會產生何種跡證。在Android 4.2之後加入了一個新的安全特性，亦即下圖左上角所示，在手機屏幕上會彈出一個要求”允許USB偵錯”的窗口，此時會隨機生成手機與計算機間的認證token ，若未進行確認，即使你有在計算機上裝妥該手機的驅動程序，也無法對該手機下達任何ADB指令，這是因為它們之間的”信任關係”尚未建立之故。當然了，若在屏幕有圖形鎖或密碼保護的情況下，你也是無法順利進到手機桌面去點擊”允許USB偵錯”的窗口。



我們先簡化情境，先撇開圖形鎖或密碼保護不​​論，在手機桌麵點擊確認允許USB偵錯後，看看計算機上有無任何線索，如下圖右上角所示，在個人profile的文件夾中產生了一個.android的文件夾，裡頭出現了一組認證時所生成的public key及private key。同樣的，我們連入手機查找有無相關的key存在，如下圖下方所示，在/data/misc/adb路徑下有個名為adb_keys的檔案，檢視內容即可看到認證的key儲存在此。



那要如何對付有著圖形鎖或是密碼保護的Andr​​oid手機呢？也許有人會說那就把從犯嫌計算機上找到的那組key搬到取證工作站上，就可以順利建立與該手機的”信任關係”以進行提取，可惜不然，因為當你把該手機接入取證工作站時，該手機會再隨機生成一組認證token，而非使用先前用過的，因此即使你把曾經已進行確認過允許USB偵錯的計算機上的key拿來利用，仍無法騙過該手機以繞過信任關係驗證。



那在Android設備的取證上是否即因此而無法順利進行了呢？其實不然，我們還有其它方式可繞過此驗證要求。而另一方面，在iOS上目前仍未改變信任關係plist的機制，取證人員在面對一支有個指紋或passcode保護的iDevice時，可留意嫌犯使用的工作站或Mac，也許能找到信任關係的plist，再利用此plist進行取證。

登錄/註冊後可看大圖