揭密针对Android设备的物理取证方法(三)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

揭密针对Android设备的物理取证方法(三)

今天,我将会介绍一些其他的Android设备的物理取证方法。前两次的分析,你可以点此(1.2)详细了解。

对摩托罗拉智能手机的取证

Oxygen开发了一种基于bootloader级别的CVE漏洞的技术,该技术允许使用Oxygen Forensic Suite的取证专家成功绕过2015年至2017年间生产的部分摩托罗拉智能手机的加密保护。其中包括Moto X,许多Moto G的升级版本,包括G5,Moto Z和Moto Z等等。一旦专家将兼容的摩托罗拉智能手机以“快速启动”模式连接到PC,并在Oxygen Forensic Extractor(取证套件的一部分)中选择“Motorola”选项,就会自动调用漏洞。

利用Oxygen Forensic Suite的优点

1.此方法可以轻松从未加密的摩托罗拉设备中提取数据;

2.通过快速启动模式进行工作的独立芯片组;

3.如果未设置密码或密码已知,则可以提取加密设备的数据,不过在此情况下,必须在取证期间指定密码;

4.支持Android 7.0

利用Oxygen Forensic Suite的缺点

1.所针对的型号有限;

2.即使是支持的手机型号,也要看具体版本,例如,支持Moto G 2的World版本,而对同一型号的Verizon变体则不支持;

3.即使存在漏洞,也不支持所有版本的软件;

4.仅限于在2017年5月之前打过安全补丁的手机;

目前,Oxygen Forensic Suite手机取证分析工具正在被世界各地广泛使用,客户现在已经涉及众多行业,有各个执法部门、警局、军队、海关和税务部门,此外还有其他一些政府部分也开始使用。另外,它对iPhone手机也有着强大的取证分析能力。除了能够取得同类取证产品可以获得的通用数据外,Oxygen Forensic Suite可以读取出更多的特有的信息。我们采用了底层的通讯协议,可以获取到:手机基本信息以及SIM卡信息、 联系人列表、组信息、快速拨号、未接/打出/打入号码、标准位置的短信息/彩信/电子邮件文件夹、自定义的短信息/彩信/电子邮件文件夹、删除的短信息(包含一些限制,支持部分型号)、短信中心时间戳、日历/日程、代办事宜、文本便签、照片、视频、音频、LifeBlog 数据 (所有活动,包含地理信息)、Java 程序、手机内存和闪存卡中的文件系统数据、GPRS和Wi-Fi使用纪录、录音文件、以及更多的信息。

对Android设备进行物理取证的其他方案

通过以上了解,我们可知,对手机采用多么高难度的加密,都会被破解。因此,随着全盘加密,基于文件的加密,安全启动和正确实施的安全启动链,即使手机运行的是过时的Android版本,例如Android 6.0,传统的物理取证方法也已经不可用。但你有没有想过,是否有人能够通过锁屏方法来进行取证?Android中许多优秀的安全措施往往被用户忽视,或者通过使用某些不太安全的措施进行保护。目前Android Smart Lock是可以对设备的整体安全性产生严重影响的功能之一。

如果取证人员能够越过锁定屏幕这个过程,则可以通过生成本地备份来尝试进行逻辑读取。与iOS相比,Android本地备份非常复杂。从Android 5.0开始,使用“adb backup”生成的备份包含比以前少得多的数据。至于其中有多少是对备份和恢复设备有用的内容,则还不一定。如果使用“adb backup”是你取证的最后手段,它总比没有好。如果你可以将账户中可以通过MTP轻松访问的“sdcard”内容进行挂载,那么总比什么都没有要好。但是,许多Android OEM都提供了他们自己的备份和恢复设备的解决方案。

以小米为例,如果被取证的设备不是最新通过谷歌认证的版本,则通过手机上的MIUI内部工具进行的本地备份将包含手机中的所有内容。其中,就包括沙盒应用程序数据,该数据是开发人员明确禁止备份的应用程序。而对于最新被谷歌认证的设备(如小米Mi Mix 2),它们似乎能很好保护开发者设置,并且任何人都无法备份不允许备份的应用程序。

另外,LG,三星,华硕和索尼都有自己的备份解决方案。有时候,这些解决方案仅适用于某些设备或特定版本的Android。一些制造商(例如三星)甚至还有好几种工具来备份不同型号的手机内容。如果你可以使用其中一种工具,那“adb backup”方法就可以不用考虑了,因为你可以访问更多的数据。有趣的是,一些提供本地备份工具的制造商会对“adb backup”中包含的取证命令实施了加更严格的限制。

最后,如果设备根本无法进行物理访问,该怎么办?如果是这种情况,你仍然可以通过直接从用户的谷歌帐户获取数据来执行云端取证。因为谷歌云端的有关用户和商店服务器上的数据量实在是太多,实际上,即使你可以执行文件系统转储,那与从云端获取的数据相比,都是九牛一毛。

总结

虽然,目前市面上的几家大型取证服务商,都号称他们可以对数以千计的手机进行取证分析,但由于加密技术的不断提高,他们提供的这些方法能成功提取Android智能手机信息的概率也会越来越低。虽然存在一些位于某一类手机上的加密漏洞,但这些方法并不是通用的,并且通常仅适用于没有进行安全启动的FDE智能手机。任何其他配置的手机在取证时,都需要输入设备本身的密码,即使设备位于取证服务商的广告中所支持的型号列表中,也可能会出现取证问题或根本不可能进行取证。

那么,加密的Android设备是否安全?只能说,与iPhone(例如iPhone 7, iPhone8和iPhoneX)相比, Android智能手机相对不太安全。


原文发布时间为:2018-06-8
本文来自云栖社区合作伙伴“ 嘶吼网”,了解相关信息可以关注“ 嘶吼网”。
相关文章
|
5月前
|
Android开发 iOS开发 UED
探索未来:Android与iOS在智能穿戴设备上的较量
随着科技的飞速进步,智能穿戴设备已经成为我们日常生活中不可或缺的一部分。本文将深入探讨两大操作系统——Android和iOS——在智能穿戴领域的竞争与发展,分析它们各自的优势与挑战,并预测未来的发展趋势。通过比较两者在设计哲学、生态系统、用户体验及创新技术的应用等方面的差异,揭示这场较量对消费者选择和市场格局的影响。 【7月更文挑战第31天】
55 0
|
4月前
|
存储 Shell Android开发
基于Android P,自定义Android开机动画的方法
本文详细介绍了基于Android P系统自定义开机动画的步骤,包括动画文件结构、脚本编写、ZIP打包方法以及如何将自定义动画集成到AOSP源码中。
81 2
基于Android P,自定义Android开机动画的方法
|
4月前
|
Android开发
基于android-11.0.0_r39,系统应用的手动签名方法和过程
本文介绍了基于Android 11.0.0_r39版本进行系统应用手动签名的方法和解决签名过程中遇到的错误,包括处理`no conscrypt_openjdk_jni-linux-x86_64`和`RegisterNatives failed`的问题。
200 2
|
2月前
|
缓存 Java Shell
Android 系统缓存扫描与清理方法分析
Android 系统缓存从原理探索到实现。
67 15
Android 系统缓存扫描与清理方法分析
|
4月前
|
Shell Linux 开发工具
"开发者的救星:揭秘如何用adb神器征服Android设备,开启高效调试之旅!"
【8月更文挑战第20天】Android Debug Bridge (adb) 是 Android 开发者必备工具,用于实现计算机与 Android 设备间通讯,执行调试及命令操作。adb 提供了丰富的命令行接口,覆盖从基础设备管理到复杂系统操作的需求。本文详细介绍 adb 的安装配置流程,并列举实用命令示例,包括设备连接管理、应用安装调试、文件系统访问等基础功能,以及端口转发、日志查看等高级技巧。此外,还提供了常见问题的故障排除指南,帮助开发者快速解决问题。掌握 adb 将极大提升 Android 开发效率,助力项目顺利推进。
105 0
|
3月前
|
ARouter 测试技术 API
Android经典面试题之组件化原理、优缺点、实现方法?
本文介绍了组件化在Android开发中的应用,详细阐述了其原理、优缺点及实现方式,包括模块化、接口编程、依赖注入、路由机制等内容,并提供了具体代码示例。
48 2
|
4月前
|
Android开发
Android在rootdir根目录创建自定义目录和挂载点的方法
本文介绍了在Android高通平台的根目录下创建自定义目录和挂载点的方法,通过修改Android.mk文件并使用`LOCAL_POST_INSTALL_CMD`变量在编译过程中添加目录,最终在ramdisk.img的系统根路径下成功创建了`/factory/bin`目录。
223 1
|
4月前
|
开发工具 uml git
AOSP源码下载方法,解决repo sync错误:android-13.0.0_r82
本文分享了下载AOSP源码的方法,包括如何使用repo工具和处理常见的repo sync错误,以及配置Python环境以确保顺利同步特定版本的AOSP代码。
535 0
AOSP源码下载方法,解决repo sync错误:android-13.0.0_r82
|
4月前
|
Android开发
基于Amlogic 安卓9.0, 驱动简说(四):Platform平台驱动,驱动与设备的分离
本文介绍了如何在基于Amlogic T972的Android 9.0系统上使用Platform平台驱动框架和设备树(DTS),实现设备与驱动的分离,并通过静态枚举在设备树中描述设备,自动触发驱动程序的加载和设备创建。
72 0
基于Amlogic 安卓9.0, 驱动简说(四):Platform平台驱动,驱动与设备的分离
|
4月前
|
Android开发 C语言
基于Amlogic 安卓9.0, 驱动简说(二):字符设备驱动,自动创建设备
这篇文章是关于如何在基于Amlogic T972的Android 9.0系统上,通过自动分配设备号和自动创建设备节点文件的方式,开发字符设备驱动程序的教程。
71 0
基于Amlogic 安卓9.0, 驱动简说(二):字符设备驱动,自动创建设备