云取证的优势与挑战

　　现在大多数移动终端设备都采用了底层加密方法保护数据，这使得对我们对数据的提取变得越来越困难。传统的攻击方法效果越来越差，加密途径也开始变为专用的安全芯片，并且能够在用户第一次解锁手机密码时自动生成加密密钥。未来，云取证可能是最佳的取证方法。和存储在移动终端中的数据相比，云取证通常会得到相同甚至更多的数据。

　　移动终端取证的挑战

　　过去几年，新技术的应用给移动终端取证带来了许多新挑战。各种手机的底层加密，造成“Chip-Off”这种拆芯片取证方法已经彻底失效。几年前，苹果手机引入的USB接口限制功能，使数据提取和传输成为一个挑战。A12系列的发布修补了非常有效的checkm8数据获取方法，使得对iOS设备的提取更加困难。

　　在Android方面，谷歌已经完成了从安全性较低的全盘加密 (FDE) 到更强大的基于文件的加密 (FBE) 的转变，该加密使用基于用户屏幕锁定密码的加密密钥，在不知道正确密码的情况下，采用EDL 获取方法几乎无效。在一些情况下，取证专家可以解决 FDE 问题；然而，较新的 FBE加密才是手机取证需要面对的真正挑战。

　　随着每一代移动设备的密码解锁方法变得越来越复杂，针对手机内部数据的提取方法已经变得越来越困难。

　　云取证的优势

　　云取证解决了与提取手机物理设备相关的大部分难题，不过也随之增加了一些新的挑战。与获取单个手机设备方法相比，云取证具有以下优势：

　　对云帐户进行身份验证比手机解锁相比更加容易。用户的各种账户密码有可能从多个来源获得，而手机的锁屏密码一般都不会随便写下来。

　　政府要求。从 iOS 8 开始，苹果公司不再接受执法部门对苹果手机解锁和数据提取的服务的请求。但是，苹果公司转换了方式来满足政府的要求，可以提供用户的iCloud 备份数据（端到端加密的数据类型除外）。而谷歌和微软这两家公司并没有像苹果公司那样具有端到端加密的数据，因此他们可以提供的是用户所有的明文数据。

　　基于令牌的有限身份验证。如果执法人员有权访问用户的计算机，则可以使用令牌对云帐户进行身份验证。对于Apple设备，这个限制更明显一些：您只能使用macOS令牌，并且只能在提取出令牌的这一台macOS 计算机上使用，即使如此，您还可能需要用户身份验证（例如必须知道密码）。

　　比单个设备包含的信息更多。对于 Android系统来说尤其如此，因为 Google 帐户通常会保存用户数年的历史数据，例如位置信息和浏览历史记录。对于苹果设备来说，云同步可以汇总所有使用相同Apple ID设备的相关数据信息。

　　即使设备损坏、锁定或丢失，也可以访问数据。从云中提取数据并不一定需要拥有手机本身。但针对iPhone，某些情况下需要通过“2FA”两步验证才可下载云数据。

　　云取证的挑战

　　就像针对物理设备的解锁和提取一样，云取证本身也面临很多困难。首要的难点就是密码。如果没有正确的凭据，我们就无法对云帐户进行身份验证。但是，密码可以从多种来源获取到。例如：

　　Microsoft帐户：使用 Elcomsoft Internet Password Breaker可以破解浏览器存储的密码；使用 Elcomsoft Distributed Password Recovery暴力破解被缓存的Windows账户密码；使用 Elcomsoft Cloud Explorer 提取 Google 帐户、iOS 钥匙串、macOS 钥匙串、密码管理器应用程序等。

　　Apple ID/iCloud：浏览器存储的密码；其他设备和云服务密码，如 Microsoft 帐户、Google 帐户密码。

　　Google帐户：浏览器存储的密码；其他设备和云服务数据，如 iCloud 钥匙串、Microsoft 帐户密码。

　　长期以来，两步验证一直是苹果设备进行身份验证的主要方法。近年来，Apple要求对所有新创建的Apple ID使用两步验证（儿童帐户除外）。根据我们的经验，Apple帐户两步验证的实际使用率已达到90%。而攻克两步验证的挑战可能就像拔出受信任的SIM卡一样简单，也可能像尝试解锁手机设备那样复杂，或搜索受信任的 FIDO U2F安全密钥一样困难。

　　加密。云服务通常使用“零知识”端到端加密来保护重要的信息。如果没有额外的处理方法，受保护的数据是无法解密成功的。“零知识”是指云服务提供商也不知道且无法访问的加密数据。此时，即便政府部门要求，也无法向他们提供此类数据。不同的云提供商提供不同的数据保护方法，苹果公司在大多数方面都处于领先地位。

　　以下是采用端到端加密保护的云数据列表：

　　Microsoft 帐户：Microsoft似乎没有使用端到端加密。一切云数据都可以通过常规身份验证方式访问。

　　Apple ID/iCloud：苹果的大量云数据都使用了端到端的加密，需要输入被信任设备中显示出验证字符、屏幕锁定密码或系统密码。完整列表见下文。

　　Google 帐户：从 Android 9开始的Android备份，如果将备份恢复到新设备时需要输入原始设备的屏幕锁定密码。

　　亚马逊（消费者账户）：众所周知，亚马逊不会对其任何消费产品（例如 Kindle、FireOS和FireTV设备）使用端到端加密。

　　BitWarden（密码管理器）：所有密码都使用主密码进行端到端加密。

　　对于 Apple ID/iCloud，端到端加密保护以下内容（iOS 14 和 15）：

　　· iCloud 钥匙串

　　· 消息（短信、iMessage、附件）

　　· Apple Maps（搜索、路线、常用位置）

　　· Safari 浏览器历史记录（自 iOS 13 起）

　　· 苹果健康

　　· 屏幕使用时间

　　· 家庭数据

　　· 语音备忘录

　　除了身份验证和加密问题，云取证还有其他挑战。通信协议在很大程度上未公开并且在不断变化。Apple竭力阻止第三方工具访问 iCloud备份，甚至需要提供有效的Apple设备硬件ID才能发布数据。谷歌不断地改变各种通信协议和认证方法，迫使相关技术需要不断更新。微软则使用复杂的同步协议，很难掌握；即使是微软自己的产品（例如其 Edge 浏览器的 iOS 版本）也可能无法同步他们本应可以同步的数据。

　　结论

　　云取证是未来的方向。云取证面临许多挑战，越来越多的数据处于端到端加密的保护中。同时，各国政府积极抵制云中端到端加密的行为，使得大部分用户数据（如照片）没有加密存储，这将给个人数据带来很多安全隐患。

　　责任编辑：广汉