突破常規的電子設備取證

心愉

隨著計算機、通信技術的飛速發展，犯罪分子也越來越多地利用高科技電子設備從事犯罪活動。如何高效地獲取這些電子設備中的數據，進行卓有成效的電子取證工作，打擊犯罪活動，已經成為世界各國日益重視的一個問題。目前，國外不少政府機構、高等院校、研發企業紛紛推出了新穎的電子設備數據獲取技術。

利用手機陀螺儀竊聽附近聲波

美國斯坦福大學和以色列拉斐爾國防研究小組正在研究如何把手機中的陀螺儀變成“粗糙的麥克風”來竊聽周圍的聲波信息。研究人員在其開發的Gyrophone軟件中發現，手機陀螺儀非常靈敏，能夠將一些聲波轉換成粗糙的麥克風曲線，接收到的聲波信號有可能不光是電話震動，也包括周圍的空氣振動。研究人員測試了陀螺儀識別數字1到10及音節“oh”的能力，發現它能夠以65%的精確度識別在同一個房間由同一個揚聲器傳出來的數字，以84%的精確度識別說話者的性別，以65%的精確度區分同一房間內的五個不同揚聲器。

IOS系統和安卓系統使用的手機陀螺儀都可以拾取聲波信號，要訪問傳感器也不需要依賴于手機的任何應用程序。IOS系統限制讀取傳感器的頻率為100赫茲，而Android系統允許應用程序以200赫茲的頻率讀取傳感器數據。雖然在安卓系統下，Chrome或Safari瀏覽器限制網站只以20赫茲的頻率讀取傳感器數據，但火狐瀏覽器可以讓網站以200赫茲的頻率訪問數據。由于大多數人的聲音范圍是從80到250赫茲，而傳感器可以拾取這些聲音的一大部分，因此這意味著即使沒有安裝任何軟件，安卓用戶通過火狐訪問一個惡意網站也有可能會受到Javascript竊聽。目前，雖然陀螺儀可以變成“粗糙的麥克風”來竊聽周圍的聲波信息，但現在還不可能通過手機的麥克風進行竊聽，因為Gyrophone軟件現階段只能做到拾取語音，但無法進行語音識別。

通過監控安卓手機耗電量追蹤位置

美國斯坦福大學和以色列國防研究公司Rafael的研究人員稱，他們所開發的PowerSpy技術可通過監控安卓手機的耗電量來獲得手機位置信息，而且這些信息無需經過用戶許可即可共享到手機所安裝的每一款應用程序。PowerSpy技術在未來有望成為秘密追蹤手機位置新方法之一。

斯坦福大學研究員米歇勒夫斯基介紹，PowerSpy技術的原理是：手機在遠離基站進行信號傳輸時，或者被建筑物或山峰阻礙時需要耗費更多的電量，而且電量的耗費與基站距離、周邊環境等干擾因素的影響有穩定關系。通過測量手機在一定時間內的耗電量，完全可以暴露手機的地理位置。然而，PowerSpy技術也存在固有的局限性：它需要監控者提前測量某部手機在指定路線行進時的電量使用情況，也即無法監控該手機從未去過的地方。美國和以色列的研究人員分別在美國加州灣區和以色列海法駕車行進，在途中不斷記錄手機耗電數據，然后把采集的數據與一部經常（隨機、不確定地）經過這些路線的LG Nexus 4手機耗電量情況進行比對，發現在7條可能的路線中，他們辨認路線的準確率高達90%。

米歇勒夫斯基表示，研究人員還在探索如何更加精確地檢測一部手機在任意時間、在某條路線上的具體位置。目前，根據手機在路線上行進距離的長短不同，這種測量的誤差從幾米到幾百米不等。對于一款只安裝了Gmail、谷歌Calendar等少數企業級應用的手機，研究人員對其精確路線的測算成功率為三分之二。對于安裝了很多耗電量不可預知的應用程序的手機，他們對路線的測算成功率為60%，而精確路線的測算成功率只有20%。

利用谷歌眼鏡竊取iPad密碼

美國馬薩諸塞大學洛厄爾分校的研究人員發現，他們可以利用可穿戴設備（例如谷歌眼鏡、三星智能手表）的視頻錄制功能，秘密獲得在10英尺（1英尺≈0.3米）遠處的iPad上輸入的4位密碼，而如果使用高清攝像機，這個距離則可以達到150英尺遠。研究人員使用了一個自定義編碼的視頻識別算法，能夠追蹤手指叩擊的陰影，即使視頻錄制功能沒有在目標設備的顯示屏上捕獲到任何圖像，也能夠辨識出密碼。研究人員測試了許多有錄制功能的設備，其中包括谷歌眼鏡、iPhone5 的照相機、羅技網絡攝像頭。他們使用谷歌眼鏡去獲得3米遠處的4位密碼，準確率達到83%——如果手動修正誤差，準確率將大于90%。

有研究已經表明，執行自動竊取越肩密碼（over-the-shoulder password）是可能的，但舊的竊取方法要求必須能夠看到顯示屏，而且若超過一定的距離，或者角度太偏的時候，竊密是不可能的。馬薩諸塞大學的視頻識別軟件功能更強大，即使屏幕是不可讀的，它也可以辨識密碼，這個軟件是基于對iPad的幾何形狀和用戶的手指的位置的理解來運作的。它將傾斜的iPad上的圖像映射到這個設備上，獲得一個“參考”圖像，然后尋找深色的新月狀物體的突然的上下移動，這代表的是手指的陰影，由此可以竊取所輸入的密碼。研究人員沒有測試更長的密碼。但他們相信今后大約能以78%的正確率識別出在iPad上輸入的8位字符密碼。

利用數字指紋追蹤定位手機

犯罪分子通過利用修改手機內置設備識別碼或更換SIM卡等方式，企圖逃避追蹤和抓捕，這樣就使得執法機關無法完全依賴手機信號對罪犯進行追蹤和定位。德國工程師最近正在研究利用手機數字指紋追蹤定位罪犯。

德國德累斯頓理工大學發布的研究報告指出，如果罪犯使用手機通話，執法人員通過對基站三角測量可以對其進行跟蹤。為避免被追蹤和被抓捕，罪犯通常修改手機內置設備標識碼或更換SIM卡，以致執法機關很難、甚至不能僅僅依賴手機信號對罪犯進行跟蹤或抓捕。手機數字指紋技術能幫助執法機關應對罪犯這種“逃避策略”，可以據此實現對罪犯的手機定位和追蹤。德國工程師研究發現，手機內的任何一個單獨組件都有一定程度的誤差，手機內的無線電硬件由功率放大器、振蕩器、信號混合器等組件構成，這些組件都能產生不精確的無線電信號。例如，根據電子組件的質量不同，一部手機的實際電阻通常相對其標稱值浮動0.1%到20%。當這些誤差被混合起來，像數字信號那樣發送到基站，其結果可以被解讀為一個獨特的數字信號，即數字指紋。即使內置的設備標識碼被修改或SIM卡被更換，其數字指紋也不會被改變。因此，無論罪犯對其手機做什么，比如替換手機內部各個組件，手機仍會繼續發出獨特的信號。這些信號經專有設備讀取并進行分析，便能將罪犯手機與其他手機區分開來。

研究者雅各布·哈斯稱，這種數字指紋技術不會向手機發送任何東西，完全是被動式工作。該技術只是對手機產生的不間斷信號傳輸進行監聽，因而很難被罪犯察覺。目前，由歐盟和德國政府資助研究的該項技術已經在2G手機上實現，但顯然，每一個無線電設備都存在類似誤差，因此這種技術也應該能夠應用在3G和4G手機上。采用手機數字指紋技術的定位設備尚在完善階段，但研究表明該設備識別信號成功率在97.6%，不久將可成為執法機構的一種新工具。

利用惡意軟件獲取不連外網計算機的數據

存儲重要數據的計算機通常都是與互聯網隔絕的。它們不會與其他連接互聯網的系統相連，也通常會關閉藍牙功能，工作人員甚至不允許攜帶手機進入計算機工作區域，以確保重要數據免遭黑客遠程攻擊。然而，所有這些安全措施在以色列研究人員開發的一項新技術面前并非“固若金湯”，這一技術被以色列本·古里安大學網絡安全實驗室的研究人員命名為“AirHopper”，它可以利用受病毒感染的電腦產生并發射無線電信號，秘密獲取密碼和其他數據。

在信號發送部分，研究人員開發了一款惡意軟件，可使計算機顯卡產生無線電信號，以發射被竊取的數據。研究人員測試了兩種通過音頻信號發射數據的方法，但音頻頻移鍵控（Audio Frequency-Shift Keying，A-FSK）被證明為最有效。研究人員在論文中稱，每一個字母或字符都是以不同的音頻鍵入的，他們使用了約40種聲音頻率，可以對簡單的文本數據（如標識符、擊鍵信息、在線信息、通知信息等）進行加密。在信號接收部分，通過安裝在手機里的長波無線電接收器接收無線電信號并解碼。數據可以由最遠23英尺（約合7米）的手機接收，并通過Wi-Fi或手機網絡傳輸到黑客控制的服務器上。黑客可以在被攻擊機器附近使用自己的手機或被攻擊者的手機來接收信號，也可以通過使用強信號的便攜接收器，如架設在停車場或安裝在無人機內實現從更遠距離獲取數據。

在攻擊環節，攻擊者利用AirHopper，將其惡意代碼植入目標機器，然后將信號接收組件安裝在被侵害人手機或自己手機上，接收數據并發送至攻擊者的指揮控制服務器上。惡意代碼可以設置成先將獲取的數據存放在受感染的機器上，然后在特定的時間或間隔進行發出。研究人員還開發了技術來掩蓋目標機器上的數據傳輸痕跡，從而避免被偵測到，如只有在監視器關閉的時候或進入休眠模式時才傳輸數據，或者調節手機上的長波無線電接收器以使數據傳輸過程不發出聲響等。然而這一技術也存在限制。在概念性測試里，數據傳輸的速度僅為每秒60字節，用此技術傳輸一天的擊鍵記錄一般需要14分鐘，傳輸一份5 MB大小的文檔可能要花上10多個小時，這限制了攻擊者獲取數據的速度和數量。研究人員稱，數據傳輸速度在未來有望獲得提升。

利用電磁輻射技術竊聽封閉網絡

據美國《C4ISR雜志》披露，美軍目前正致力于研究一項新型電磁輻射竊聽技術，可通過電磁輻射手段來進入封閉網絡，對計算機植入代碼，從而實現竊聽。

早在幾年前，瑞士研究人員就曾發現，即使在另一個房間，人們也可以通過監控計算機的電磁輻射識別出隔壁房間人員敲擊鍵盤的情況。美國一些公司也相應地研究和開發了一些基于電磁原理的電磁設備技術反制產品，如通過對已經進行物理隔絕的計算機架設一道空氣間隙來防止計算機被敵方攻擊，防止電子設備因電磁輻射而遭受竊聽。目前，美軍研究人員正在嘗試著反其道而行之——通過使用電磁輻射手段來對計算機植入代碼。一名匿名專家暗示《C4ISR雜志》，這種技術的物理原理并不難，即在一個封閉網絡環境中的電子設備會發射電磁信號，盡管這種信號只是微弱或間斷的，只要能捕捉到這些信號，那么就有可能實現竊聽。當前的技術瓶頸主要是電磁輻射植入的工作距離比較近，且數據傳輸的速率比較低。研究人員拒絕提供具體數據傳輸速率的參數以及利用無線電頻率植入數據的范圍，因為這涉及技術能力界定和國家安全問題。

如果這種技術研發成功，那么在將來的竊聽世界中，竊聽人員無需通過物理方式或網絡信道來侵入目標計算機進行黑客攻擊，只需把車輛開到被竊聽網絡附近并作短暫停留，或者只需舉起一把電子手槍隔著窗戶玻璃瞄準目標計算機發射，這樣就可將木馬病毒植入，從而成功實施竊聽。

欄目主持人：劉雨濛 lymjcfy@163.com