當地警方執行搜查令並沒收了一名涉嫌毒販的手機,卻發現他只給他的母親和當地的披薩外賣打過電話,沒有其他人。或者在一次報道旅行後,一名記者的手機被機場安檢人員沒收。但是當他們檢視手機內容時,發現只有打給她家和編輯辦公室的電話。他們放她走了,但幾分鐘後,在她安全離開後,真實的資料重新出現,包括她所有來源的姓名和號碼。或者竊賊偷了你的手機,並將其連線到一個用於顯示你的密碼、照片和個人資訊的裝置上,卻一無所獲。
這些類似詹姆斯·邦德的情景不再是虛構的。如果你的手機可以對窺探的眼睛“撒謊”會怎麼樣?這就是最近由前蘇格蘭格拉斯哥大學計算機科學家卡爾-約翰·卡爾森在1月份於夏威夷舉行的第47屆夏威夷國際系統科學會議上提出的一種新技術的理念。
過去,想要向所謂的間諜軟體隱藏資料的人們通常使用以下幾種方法之一:一種是加密。另一種是“自毀”選項,如果程式以某種方式請求資料,則會刪除資料。第三種是將資訊隱藏在間諜軟體不會查詢的地方,或標記檔案使其“不可見”。有時這些方法會結合使用。所有這些方法都有其侷限性:加密金鑰和密碼可能會被發現。當然,資料自毀程式會銷燬資料。“不可見”的檔案可以被找到。可以使用這些技術來掩蓋資訊的應用程式本身可以被取證軟體檢測到。
支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞工作 訂閱。透過購買訂閱,您正在幫助確保未來關於塑造我們當今世界的發現和想法的具有影響力的故事的未來。
卡爾森的創新之處在於,他沒有編寫應用程式,而是修改了作業系統。修改後的系統向任何取證工具呈現虛假資訊;隱藏是系統架構的一部分。分析師如果使用傳統的搜尋程式尋找可疑軟體,將一無所獲。
卡爾森說,使用執行 CyanogenMod 作業系統的 HTC Desire 手機,任何人都可以修改裝置上的程式碼, CyanogenMod 是適用於 Android 系統的眾多修改版本之一。(iPhone 的難度要大得多,因為蘋果的系統不允許像 Android 那樣輕鬆地進行此類修改。)他花了大約三週的時間才建立了一個可用的原型。
卡爾森用 CelleBrite 和 XRY 測試了他的駭客技術,這兩種取證工具是警察部門在現場檢查手機資料時常用的。CelleBrite 製造了一種透過 USB 電纜連線到手機的裝置,而 XRY 則在筆記型電腦或 PC 上執行。兩者都可以檢索聯絡人列表、通話記錄甚至密碼。但是,當卡爾森執行他修改後的系統並插入手機時,取證程式只提取了“誘餌”資料——他程式設計到手機中的虛假資訊,例如聯絡人列表中的電話號碼。
該技術在 PC 或筆記型電腦上無效,因為可以完全從計算機中取出硬碟驅動器並繞過計算機的作業系統。然而,手機將資料儲存在 SIM 卡或難以拆卸的晶片上。用於訪問資料的軟體在不同的手機之間有所不同,因此沒有像基於 Windows 或 Mac 的硬碟驅動器那樣查詢手機的標準方法。此外,在不破壞手機並可能丟失其中有價值的資訊的情況下,很難從手機中取出這些部件。
卡爾森說,他的駭客技術不會阻止真正複雜的分析。如果將手機送到聯邦調查局或國家安全域性,他們可以深入研究作業系統並確定它已被修改。甚至一些現場級別的取證工具也可能具有這種能力,儘管 CelleBrite 和 XRY 的製造商 Micro Systemation 拒絕回應詢問。
如果掩蓋資料成為普遍現象,可能會使一些刑事案件的審理更加困難。美國國家標準與技術研究院的指導方針表示,調查人員應注意不要更改裝置上的任何資料,因為該證據可能會在法庭上使用,因為某些提取方法會讓人懷疑其真實性。
計算機安全工具製造商 F-Secure 的首席研究官 Mikko Hypponen 表示,卡爾森的修改代表了間諜、執法部門和使用者之間軍備競賽的另一個階段。當他們中的任何一方取得技術進步時,另一方都會努力反制它。該研究還強調了尋找方法來保護合法隱私需求的問題。“這種工具可以用於好的方面,也可以用於壞的方面,”Hypponen 說。