新型iPhone手機鑑識技術可免密碼登入蘋果iCloud

俄羅斯資安鑑識公司Elcomsoft日前推出新版iPhone手機鑑識工具Elcomsoft Phone Password Breaker（手機密碼破解器）鑑識版，可以在無帳密的情況下登入蘋果的iCloud帳號。由於iOS使用者的電腦會安裝iCloud 控制面板程式（iCloud Control Panel）以同步雲端iCloud硬碟和桌面電腦的資料，而鑑識人員可以透過這套工具，先取得存放在桌面電腦中的iCloud登入權杖（Token），鑑識人員就可以免帳密登入雲端iCloud取得相關的資料。不過，臺灣手機鑑識專家OSSLab執行長張道弘表示，臺灣多數iPhone使用者並沒有安裝iCloud Control Panel，雖然新版鑑識技術有大突破，也使得這樣的鑑識工具在臺灣，可以發揮鑑識功能的機會並不高。

新版Elcomsoft Phone Password Breaker鑑識版可免帳密登入iCloud

Elcomsoft在兩年多前，便已經率先推出iPhone手機密碼破解器，透過掌握嫌犯的Apple ID和密碼，就可以取得iCloud的備份資料；而這次新版手機密碼破解器，可以繞過iCloud帳號和密碼登入的驗證過程，從嫌犯Mac或微軟桌面電腦中，取得嫌犯驗證登入iCloud的權杖資訊。Elcomsoft表示，透過該公司提供的命令工具，鑑識人員就可以從電腦中去定位、萃取和解密嫌犯存在電腦上的權杖資訊。

比起兩年前只能利用舊版iOS系統漏洞的鑑識手法，張道弘認為，這的確是iPhone手機鑑識技術的進步。只不過，他說，鑑識人員要做到免帳密登入雲端iCloud的前提在於，嫌犯的電腦必須已經事先安裝，可以同步iOS裝置與桌面電腦的iCloud 控制面板程式，因為可以同步電腦桌面和雲端的郵件、聯絡資訊、行事曆、書籤和照片等資料，也包括iCloud認證的權杖資訊。

「迄今，Elcomsoft仍是唯一一間可以檢索和解密存放在iCloud備份資料中的第三方鑑識工具。」該公司說道，而目前使用iCloud的人數已經超過250萬人。

不過，張道弘表示，進行手機鑑識採證時，不可以在iPhone或者是iCloud備份資料中，有任何登入、複寫等痕跡，這對所有手機鑑識工具都是很重要的關鍵。所以，Elcomsoft提供專業鑑識人員可以透過Elcomsoft Phone Password Breaker，將相關的證據資料直接下載到另外一個未加密iPhone離線儲存設備中，以符合數位鑑識的規範。

Elcomsoft Phone Password Breaker有家用版、專業版和鑑識版等三個版本，鑑識版可以支援的產品包括：最新版的iPhone（含iPhone 5C和5S）、iPad（包含iPad Mini）、每一代的iPod和iOS 4以上版本的產品（支援到iOS 7.1.1版），目前只在北美地區發售，建議售價399美元。

鑑識版產品可以提供鑑識人員免帳密取得備份在iCloud上的簡訊、通話記錄等訊息，可運行在微軟Windows Vista、Windows7、8和8.1版作業系統，以及Windows 2003，2008和2012伺服器作業系統。如果嫌犯有多臺裝置同時註冊到同一個Apple ID，可以在雲端iCloud帳號恢復所有的備份資料，對鑑識也是有利的。