- “查手机” 已经过时了吗?如今流行的所谓取证工具旨在满足 “即便不在手机上的东西也能把它搞成罪证”。开发这种取证工具的公司大把,并且没有法律限制其使用方式。是谁正在干这种事?它们有什么能力?
当政府的搜查行为从手机转移到所谓的云端时:云提取技术和 “移动取证的未来” 是什么样的?
手机仍然是执法调查中最常用和最重要的数字资源。然而,警察不仅仅要掌握手机上实际存储的内容,还想要从中了解到目标人曾经访问过什么,主要是通过存储在云中的数据。
Cellebrite 是用于从手机中提取数据的领先监控技术供应商,在其年度趋势调查中指出,在所有调查中大约一半证据都 “出现’’ 了云数据,并且 “通常’’ 涉及社交媒体或应用程序 —— 那些并不在物理设备上的数据。
数据 “不驻留在物理设备上” 表示执法部门正在转向 “云提取”:对存储在第三方服务器上的用户数据进行取证分析,那些通常由设备和应用程序制造商备份的数据。
然而,随着执法部门越来越多地将云提取用于从应用程序中获取数据,大众对此的警惕性完全没有跟上节奏。YouGov 的一项调查显示,在英国,有45.6%的人没有考虑过手机上应用程序创建的数据存储在哪里,而44.3%的人完全不知道或不认为他们手机上的应用程序使用云存储。
随着人们花更多的时间使用社交媒体、消息收发应用、使用 Dropbox 和 Google Drive 之类的东西来存储文件 …… 随着电话变得更加安全、锁定的设备更难以破解,并且基于文件的加密变得越来越普遍 …… 正如一位著名的业内人士所言,“可以说云提取决定了移动取证的未来。’’
“基于私有云的数据代表了取证调查人员挖掘潜在证据的虚拟金矿。”
隐私国际组织从取证学角度反复提出了对手机提取风险的担忧,并强调了缺乏有效的隐私和安全保护措施的危险。云提取则将风险更进了一步 —— 它不仅可以访问手机中包含的内容,还可以访问目标人在其中使用过的任何内容。
上图中这本书在这里下载:https://t.me/iyouport/6928
您的手机具有可供开发的所有数据,已经成为解锁在线个人和职业生活的万能钥匙。
需要更大的紧迫性来应对这种提取所带来的风险,尤其是,当考虑到在分析提取数据的软件中增加面部识别和情感识别时。
国家部署了哪些新的监视技术并没有告知公众、缺乏清晰易懂的法律框架、政府缺乏可辨别的行动,几乎没有减少公众免受数据利用的危险。
对高度敏感的数据采用这种狂野西部的做法只会带来滥用、误用和错误审批的风险。这对被控严重罪行的受害者尤其不利,特别是,我们甚至缺乏执法部门提供的有关他们在做什么的基本信息。
云提取技术的部署几乎没有透明度,而且是在公众了解非常有限的背景下进行的:本报告将隐私国际组织的开源研究、技术分析和信息自由法案的结果汇总在一起,以尝试揭露这一新出现的对人权的紧急威胁。
什么是手机提取
手机提取工具是允许警察从手机下载数据的设备和软件,包括:
- 联系人
- 通话数据 —— 你打电话给谁、何时通话、以及持续多长时间
- 短信
- 存储的文件 —— 照片、视频、音频文件、文档等
- 应用程序数据 —— 你使用什么应用程序、以及存储在其中的数据
- 位置数据 —— 近乎实时的跟踪
- Wi-fi 网络连接 —— 可以显示您连接到 wi-fi 的任何地方的位置,例如曾经访问过的工作场所和居所
移动电话提取需要与要分析的目标移动设备建立物理连接,以提取、分析并显示电话中包含的数据。
但是,它不仅可以提供设备本身所包含的内容,而且还可以成为通向云和外部信息源的入口。如果警察从检查的目标设备中提取登录名、密码和令牌,就可以使用它们来验证凭据以提取云存储的数据。
什么是云提取
云提取(或云分析)是一种访问、提取、分析、和保留存储在云中的数据的能力,这是技术公司广泛使用的术语,通常是指从第三方公司的服务器上提取。示例包括 Dropbox、Slack、Instagram、Twitter、Facebook、Google 产品如 My Activity、还有 Uber 和 Hotmail 等。
随着云存储越来越多地用于社交媒体、与互联网连接的设备和应用程序,云提取为挖掘大量敏感个人信息打开了大门。
在有关基于云的数据爆炸的相关报告中,有数据显示到2025年,将有49%的数据存储在公有云环境中。思科全球云指数预测了全球数据中心和基于云的IP流量的增长,并预测到2021年公有云数据中心的使用将继续大幅增加。
“来自移动应用程序的大部分数据都存储在云中。这意味着有大量的用户数据可用于收集。”
例如,Cellebrite 的 UFED Cloud Analyzer 使用可以从设备中提取的登录凭据然后从 Google 网络历史记录中提取搜索历史、访问过的页面、语音搜索记录和翻译记录,并查看在 iOS 设备上使用 Chrome 和 Safari 进行的文本搜索在 iCloud 中的备份。
通过获取登录凭据,即使目标人不再拥有这部手机,它仍然可以继续跟踪目标人的在线行为。
这种取证是如何工作的
有多种方法可以 “绕开移动设备的状态或配置” 访问云数据,这从取证的角度来看很有吸引力。
第一种涉及应用由个人提供的已知用户凭证,即 当个人自愿提交其登录详细信息时。第二种是从电话中提取数据,然后使用在该设备上或在其他设备(如笔记本电脑)上找到的令牌,用户可能在其中通过浏览器保存了身份验证令牌。第三种方法涉及在公共领域中收集数据。
“当用户成功通过应用或云服务进行身份验证时,该服务会返回一个令牌,该令牌用于使用户无需再次输入用户名和密码即可访问该服务。令牌就像一个通行证,例如当您打开 Gmail 帐户并使用它登录时不需要您进行任何交互。大多数令牌在身份验证时都设置了有效期限,这会因应用程序或云服务器而异。有些仅适用于单次登陆,另一些则适用于两个星期,还有一些适用于30天,如果用户在同一移动设备上使用该应用程序,则永久有效。
令牌的使用避免了登录时触发的双因素身份验证(2FA),后者通常会阻止对数据的访问。
在2FA中,提示用户确认发送到独立设备(例如 移动电话)的代码的过程是一项关键的安全功能。但是,即使触发了 2FA,Oxygen Forensics Cloud Extractor 仍可以通知政府间谍,并且 “提供了多个选项来绕开附加步骤。”
用于在移动设备之外获取令牌的工具
1、Elcomsoft 的 GTEX 工具可以在计算机上搜索身份验证令牌 ——
“如果用户的计算机上安装了 Google Chrome 浏览器,并且用户通过浏览器登录了至少一项 Google 服务,就可以对 Google 帐户进行无密码身份验证。
新的 Google 令牌提取器(GTEX)工具会自动在用户计算机上搜索由 Google Chrome 浏览器保存的身份验证令牌。
用户在浏览器中登录自己的 Google 帐户后,这些令牌可实现对 Google 服务的无缝访问,而无需重新输入密码。”
2、Cellebrite 的 PC Cloud Collector ——
“是一个独立的工具,可以使用浏览器中的 Cookie 和该PC上安装的应用程序从目标PC上创建令牌。”
3、UFED Cloud Analyzes 7.6 ——
“扩展了其密码收集器功能,以包括保存在移动网络浏览器中的密码。审查员现在可以使用密码收集器从各个站点检索密码登录信息,以收集有关嫌疑人或受害者的最大数据量。这是通过利用用户访问在线帐户时保存在浏览器中的登录详细信息来实现的。”
4、另一个类似的工具是 Oxygen Forensics 的 KeyScout,可在PC上查找密码和令牌 ——
“ KeyScout 安装了闪存卡并从 Windows PC 收集凭据。然后可以将收集到的凭据导入 Oxygen Forensic Cloud Extractor 中,以立即使用。”
这些取证工具不仅提供了一种访问云存储数据的简单方法,而且还提供了比个人使用自己的用户名和密码可以访问的更多的数据。
例如,Elcomsoft 称:“即使可以使用正确的身份验证凭据(例如 用户名和密码),也无法访问存储在云中的证据。”
Elcomsoft 将使用 Elcomsoft Phone Breaker 可获得的数据量与不使用取证工具时可获得的数据进行了比较。他们认为,使用取证工具不仅简单快捷,而且可以访问云中的数据,甚至比知道用户名和密码时获得的信息更多。
报告表明,还有其他方法可以使用令牌访问基于云的帐户。
2019年7月,《金融时报》报道称,NSO 集团臭名昭著的 Pegasus 恶意软件可以通过复制受感染手机的身份验证密钥来进行云提取,从而允许单独的服务器模拟手机及其位置。
上图中这份文档在这里下载:https://t.me/iyouport/6379
尽管诸如亚马逊、苹果、谷歌和微软等寡头公司评论了英国《金融时报》在NSO Group上的报道,但仍不清楚这些寡头在执法部门使用的云提取技术方面的立场。
谷歌告诉英国《金融时报》,与 Pegasus 有关的技术 “没有证据表明它可以访问 Google 帐户或系统’’。但是,鉴于有很多取证公司公开宣传对 Google 产品的访问权限,因此您必须意识到,这对于客户数据的安全性而言是一个重大威胁。
可以获取哪些类型的数据?
监视公司关于通过云提取可以访问哪些数据类型的宣称令人印象深刻。
例如,Cellebrite 的 Cloud Analyser 声称 “使用司法鉴定程序提取、保存和分析所有公共领域和私人社交媒体数据、即时消息、文件存储、网页和其他基于云的内容”。
这包括一整套 Google 产品。而仅凭其 “历史记录” 功能就可以:
“通过从 Google 网络历史记录中提取文本搜索、被访问的页面、语音搜索记录、和翻译的历史记录,并在支持 iCloud 的 iOS 设备上使用 Chrome 和 Safari 进行文本搜索,从而洞察目标人的意图和兴趣。” —— Cellebrite
⚠️取证专家声称能够获取未送达的消息、未接听的电话、有关从私人和群组聊天中删除的消息、帐户所有者和联系人的个人资料图片和状态消息、回复中嵌入的原始消息以及广播消息。
👉简单说,数据不仅与目标用户有关,而且还与他们的朋友、家人、同事、及与之交互的任何人有关。
下图显示了 Cellebrite 对可以从手机中提取的数据量与可以从云来源中提取的数据量的比较,显示了与社交媒体、电子邮件、文件共享、以及位置和搜索历史有关的更多信息。
尤其是使用 Google 带有时间戳的位置记录、以及 Google My Activity 数据和备份来 “按分钟显示实时位置信息、搜索和访问过的网站”。
Oxygen Forensics Detective 取证分析工具的开发公司称可以从 “最受欢迎的云服务” 中获取数据,包括 WhatsApp,iCloud,Google,Microsoft,Mi Cloud,华为,三星,电子邮件(IMAP)服务器等。
“还支持各种社交媒体服务,包括并不限于:Facebook,Twitter,Instagram等。… 在撰写本文时,它支持54种不同类型的云服务,从文件存储到 Messenger、无人机、健康应用程序和社交媒体。”
⚠️即使您使用端到端加密消息传递,一旦将 WhatsApp 消息备份到了云端,执法部门仍然可以访问它们。
Magnet Forensics 还提供了一种云提取服务 AXIOM Cloud,它 “支持9个父级服务中的大约25个云产品,其中包括 Apple Box,Dropbox,IMAP / POP,Facebook,Google,Instagram,Microsoft 和 Twitter 等。每个服务都细分为不同的子服务。”
通过查看可以更详细提取的数据类型,Cellebrite 的 Cloud Analyzer 产品更新显示了对来自 Alexa 和 Google Home 等智能设备的数据的需求不断增长。
Cellebrite 的 UFED Cloud Analyzer 7.2 “提供对包括音频在内的用户请求的访问”。正如 Cellebrite 所说:
“物联网(IoT)创造了更多使用数据的方式,使我们的生活更轻松,并且它也创造了更多的数字情报来源,供调查人员在进行刑事调查时使用。” —— Cellebrite
请注意 Cellebrite 并不是唯一一家促进家庭智能助理访问数据的移动提取公司。Oxygen Forensics 同样将数字助理视为新的目击者,这些设备估计用户数量到2021年将达到18亿:
“提取的宝贵数据可以包含大量信息,其中例如:帐户和设备详细信息,联系人,用户活动,传入和传出消息,日历,通知,用户创建的列表,创建/安装的功能,首选项等。
👉该软件的一项惊人功能是能够提取用户提供给 Alexa 的存储语音命令。用户的真实声音!
毫无疑问,从亚马逊提取的信息将为用户的日常活动、他们的联系人、共享的消息、以及有价值的语音命令提供深刻的见解。”
“当 Alexa用户说出唤醒词来执行一项查询功能时,查询记录就会发送到该用户的 Amazon 云帐户。政府间谍可以提取 Amazon Alexa 数据,以包含用户实际话语的这些有价值的音频记录。”
- 推荐报告《你家冰箱如何作为呈堂证供?》
⚠️随着连接到互联网并因此将数据存储在云中的设备数量的持续增长,云提取不仅可以进入人们的家中,甚至还可以进入人们的身体 —— 从可穿戴设备中访问数据。
- 推荐这份调查《“如果你不偏执,那就是疯了”》
“从 Fitbit 到 Apple Watch,当今的许多用户都在使用健康可穿戴设备,其中的数据包括心率、位置、食物摄入量、消息传递等信息,这些信息通常仅在云服务上而不在移动设备上。”
Cellebrite 可以访问 Fitbit “用户个人资料、日志、活动、目标、朋友关系、心率、运动轨迹(速度,位置,时间等)。
UFED Cloud Analyzer 7.3 访问 Google 位置数据和 Booking.com 的 “用户个人资料、购买历史、消息和搜索’’,这是与旅行和位置有关的另一种数据来源,UFED Cloud Analyzer 7.6 支持从 UBER App 中提取数据,并且可以:
👉“获得乘客和驾驶员资料数据、上下车的位置记录、以及用户信用卡的后4位 … 检索信用卡详细信息,新用户必须在首次登录时填写此信息。当乘客选择了接送地点、期望的目的地、和可用的驾驶员时,每次旅行都有详细记录。记录的路线经过汇总,然后按常用的目的地进行分类。驾驶员的信息包括姓名和证件照片。” —— Cellebrite
考虑到 Amazon 和 Facebook 的流行,这些显然是云存储数据的目标。截至2018年第四季度,Facebook 每月有23.2亿活跃用户。亚马逊在2017年拥有3亿用户。
Cellebrite 的 UFED Cloud Analyzer 7.5 的更新包括:“五种全新功能,可访问[针对 Facebook] 的活动日志、搜索历史、主页、用户群组数据、和IP地址记录。”
该软件可以:
“ …从标记了嫌疑人的帖子和照片中提取信息,以寻找新的线索或新的嫌疑人。
👉其他数据点包括识别点赞页面或将某人添加为朋友时建立的连接,以及发布的评论、阅读的文章、观看的视频、参观的地点等等。
对于群组和页面上的用户数据,UFED Cloud Analyzer 7.5 还可以标记嫌疑人是否是某个页面或群组的成员或管理员。
此版本还可以显示 Facebook 日志IP地址记录,以使监视者能够识别用于访问帐户的手机或计算机的位置。”
UFED Cloud Analyzer 7.5 “可以访问[Amazon]的搜索历史、购买历史和送货地址,这些信息可以为政府间谍提供重要的数字证据。”
“在此版本中,您还可以查看在亚马逊帐户中注册的信用卡的后四位数字,包括账单和送货地址。” “随着时间的推移,买家的搜索历史记录和愿望清单可能表明哪些可疑行为导致了犯罪。”
⚠️云提取技术还可以从无人机中访问数据,例如 UFED Cloud Analyzer 7.6,其中添加了 DJI Drone App 和 SkyPixel 社交网络。它:
“允许监视者访问该应用程序以及 SkyPixel 社交网络上的相应用户帐户;用户个人资料数据和存储的无人机飞行日志数据都是可检索的,包括:日期、距离、飞行时间、位置、视频和图像。 SkyPixel 用户个人资料还可以帮助监视者验证是否对特定视频以及跟踪标签、关注对象等进行了任何协作。”
随着越来越多的公司依靠云存储来开展与工作有关的活动,可以从设备上的令牌获得的可访问数据不仅与个人生活有关,而且还包括他们的工作。
例如:
“ Cellebrite 提供了从 Slack(商业社区流行的通信工具)访问共享文件和即时消息数据的权限。”
UFED Cloud Analyzer 7.9 还包括对 Snapchat 和 Instagram 增强功能的支持。当我们考虑以下内置于分析软件中的不断增长的面部识别功能时,这是有意义的,该分析软件可以分析从手机提取的数据以及通过云提取获得的数据。
面部识别和云提取
使用云提取技术从手机和其他设备提取的数据分析越来越多地包括面部识别功能的使用。
👉如果我们考虑可以从包含面部图像的 Instagram、Google照片、iCloud 等基于云的资源中获取大量个人数据的现实,那么在大量数据上使用面部识别的能力就很重要。
毫无疑问,它可能被用于大量的云存储数据而没有任何透明度和问责制。
早在2017年8月,Cellebrite 为其分析平台引入了所谓的 “先进机器学习技术”,该技术可用于分析从云中提取的数据,其中包括面部识别和匹配。
从2019年7月开始,Oxygen Forensic Detective 内置的 Oxygen Forensics JetEngine 模块提供了对人脸进行分类的功能。
👉Oxygen 不仅可以在提取的数据中提供面部的分类和匹配,而且面部分析还可以基于性别、种族、和情绪识别进行分类。
Oxygen首席运营官 Lee Reiber 表示,该工具可以 “在证据集中搜寻特定的面孔,或将同一个人的图像聚合在一起。还可以按种族或年龄组以及 “喜悦” 和 “愤怒” 等情绪来过滤面孔。
持续追踪
获得用户的凭据后,不仅可以获取其基于云的数据,还可以使用其基于云的帐户来跟踪他们。
例如,Cellebrite 的 Cloud Analyzer 的功能就包括:
👉“跟踪在线行为,分析帖子、点赞、事件和联系,以更好地了解嫌疑人或受害者的兴趣、人际关系、观点和日常活动。”
这提供了对个人生活的非常侵入性的了解。个人本身永远不会知道有人可以访问并正在使用他们的云数据。
短期或长期的活动监视(特别是没有手机或在设备之外时)这非常具有侵犯性,并为云提取功能带来了另一个令人担忧的方面。
⚠️监视者不仅可以随时通过其登录凭据或访问其基于云的帐户的功能来跟踪和监视目标人的行为、消息和位置数据,而且还可以发送消息,模仿目标人,将包含非法内容的信息发送给其他人。
结论
由于没有有关使用云提取技术的详细信息,因此不清楚这是否合法,也不清楚如何保护个人免受滥用其数据的危害。(我们会坚持建议您尽可能不要使用云)
可以从云服务中提取的数据量,包括分析图像的面部识别技术,以及,即使仅提取与一个人有关的云数据,也将产生获得更大量周边人的个人数据的影响,足以表明这种技术应该有更大的透明度和责任感。
这是执法机构的危险趋势的一部分,希望在全球范围内确保其使用的新技术形式的透明度和问责制。
以下是隐私国际组织的建议。
搜索一个人的基于云的数据比搜索他们的家更具侵入性,不仅是信息的数量和详细程度,还有可回溯性和继续挖掘未来数据的能力。 当权者不应无拘无束地获得公民的全部生活,使用云提取需要最严格的保护。
因此提出以下建议:
1、对警察和边境管理部门对云提取技术的使用加强独立调查;并征询公众、民间社会、工业界的意见。
2、在对任何基于云的数据进行取证检查或以其他方式访问其中存储的任何内容或通信数据之前,警察必须获得法官基于合理怀疑而签发的逮捕令。
3、必须有明确的法律依据来检查、收集、存储和分析基于云的服务中的数据,必须提供足够的保障以确保仅在必要且相称时才使用这种侵入式权力。
4、必须发布针对公众的权利及其提取内容的指南,并将其提供给要对其设备进行分析的人员。
5、必须告知目标人其基于云的数据已被提取、分析和保留。
6、检查过基于云的数据的任何人都应该可以使用有效的补救措施,从而可以提出有关合法性的任何担忧。
7、执法人员必须对合法使用这些权力的遵守情况接受独立监督。
8、网络安全标准应达成共识并分发,规定必须如何存储数据、将其保留多长时间、何时必须删除数据,以及谁可以访问它。
9、使用这些权力的所有主管部门都必须通过公共领域的采购渠道购买相关取证工具,并定期更新其已购买工具的清单,包括有关所拥有工具、制造商、和支出金额的详细信息。
10、创建并遵循技术标准以确保进行验证和确认。例如,这应该伴随有明确记录的过程。
11、需要足够的技术技能。因为拥有如此空前的数据量,必需由具备高技能的取证调查员来执行。
12、云提取技术的测试、试验和部署必须伴随准确的评估、适当的保障措施、以及公众和民间社会的参与。
取证工具当前支持的云服务列表
您可以在这里看到原始报告:https://privacyinternational.org/sites/default/files/2019-12/3.12.2019%20Cloud%20Analytics%20LONG%20READ%20FINAL.pdf
⚪️