引用本文
赵露, 康艳荣, 郭丽莉, 龙源. 智能手表电子物证取证方法研究[J].刑事技术, 2018,43(1):17-21
ZHAO Lu, KANG Yanrong, GUO Lili, LONG Yuan. Digital Forensic Investigation into Smart Watches by Experiment[J]. Forensic Science and Technology,2018,43(1): 17-21  
doi: 10.16467/j.1008-3650.2018.01.003
Permissions
Copyright©2018, 《刑事技术》编辑部
《刑事技术》编辑部
智能手表电子物证取证方法研究
赵露, 康艳荣, 郭丽莉, 龙源
公安部物证鉴定中心,痕迹科学与技术公安部重点实验室,北京 100038

第一作者简介:赵露(1988—),女,内蒙古呼伦贝尔人,硕士,研究实习员,研究方向为电子物证检验技术。E-mail:zhaolu@cifs.gov.cn

基金资助: 公安部技术研究计划项目(No.2016JSYJS16)
摘要

智能手表由于其体积小巧功能丰富的特点在近年来受到消费者的广泛欢迎,它存储着大量有重要取证价值的信息,如通话记录,即时消息,GPS记录,健康数据记录等。这些电子数据无疑会丰富电子物证数据资料,为侦查破案和立案诉讼提供重要线索和有力证据。本文首先对国内外智能手表取证研究和应用的现状进行了总结,然后通过对具有不同特点的智能手表进行数据提取和解析的实验,总结出了可被迅速投入实战的可行取证方法。研究发现,本文中提到的方法可以对市面上常见的智能手表进行电子数据取证。本文还通过对智能手表的硬件架构和软件数据结构进行的研究,分析了智能手表取证的难点,并在最后提出了未来智能手表取证研究的方向,为广大电子物证研究和技术人员提供参考。

关键词: 智能手表检验; 电子物证; 数据提取; 数据解析
中图分类号:DF793.2 文献标志码:A 文章编号:1008-3650(2018)01-0017-05
Digital Forensic Investigation into Smart Watches by Experiment
ZHAO Lu, KANG Yanrong, GUO Lili, LONG Yuan
Institute of Forensic Science, Ministry of Public Security, Beijing 100038, China
Abstract

Smart watch, widely popular because of its convenient portability and rich functionality, can store plenty of information such as phone-call history, instant messages, GPS records and health data, all those important for digital forensic investigation to get key clues and strong evidence. In this paper, the present situation was summarized on smart watch at its digital forensic researches/applications home and abroad. The technical difficulties were followed to be analyzed according to the hardware architecture and software data structure of smart watches. Therefore, three practical methods were proposed on the basis of experiments that had been carried on extracting and analyzing the selected characteristics-different smart watches so that the practical digital forensic means were thus concluded for obtaining the data from those commonly-seen smart watches in market. Finally, the future direction was put forward on the digital forensic researches about smart watches, with purpose of providing references to relevant both researchers and technicians who are engaging in digital forensics.

Key words: smart watch examination; digital forensic; data extraction; data analysis

智能手表, 作为可穿戴设备[1]的一种, 由于其使用更加便捷, 可完成功能更多, 成为最受欢迎的可穿戴设备之一。智能手表内置智能化系统, 通过配对智能手机或独立连接到网络可实现多种功能。除了可同步手机中的电话、短信、邮件、照片、音乐等数据信息外, 具有GPS、心率传感器等功能的手表还可以监控并记录用户的心率、运动轨迹等运动健身和医疗保健信息[2], 并可与手机或云存储空间进行同步。这些功能必然使智能手表中存储大量电子物证数据信息, 而对这些数据信息的获取也必然会成为未来电子物证技术发展的一个重要方向。

1 智能手表取证国内外研究现状

目前国内外研究机构都已经逐渐开展了对智能手表取证的研究, 但是由于智能手表是近两年才爆发式增长的电子设备, 因此其研究大都处于刚起步状态, 相关文献和案例还较少。

国外方面, 已有多起案件使用智能手表中的数据信息作为证据和线索[2]。目前已知首次被报道的将智能手表的活动数据作为证据的案例是在加拿大一起人身伤害诉讼中, 原告要求用她佩戴的Fitbit智能手表的数据, 来证明她在事故发生后的行动力水平突然下降[3]。该案并非直接由Fitbit递交原始数据作为证据, 而是交由第三方分析机构Vivametrica做综合分析, 并提交一份可信报告给法院。涉及智能手表数据的另一起案件中, 相关的睡眠监控数据和运动轨迹数据帮助推翻了原告的证词[4]。原告声称在睡眠中被绑架, 而警方提取她佩戴的Fitbit检验后, 其中数据却证明了她在自己声称睡眠的时段里是清醒的, 并且整个晚上都在走动。由这些案例可以推断, 通过随身佩戴的智能手表直接获取活动数据, 可以应用的领域范围应该更广阔。生产手机取证设备的以色列Cellebrite公司在2015年7月7日的更新日志中称其设备UFED已经可以绕过屏幕锁, 对包括LG G watch和三星Galaxy GearSM-V700在内的搭载Android Wear系统的智能手表数据进行物理提取[5]

国内方面, 相关研究人员已经对智能手表开展了取证研究。美亚柏科的研究人员研究了Apple Watch的取证方法[6], 他们研究了其中应用软件的安装方式, Apple Watch与iPhone手机之间的信息交互关系, 可利用物理接口等。研究者通过iTunes对与Apple Watch配对的iPhone文件进行备份, 再利用取证软件对备份文件进行解析, 得到了大量有用的数据, 这些数据中不仅包含了Apple Watch的所有人信息、配对时间、连接的Wi-Fi适配器MAC地址、蓝牙MAC地址等智能手表本身的信息, 还包含了由数据同步得到的通讯录、APP列表、邮件账户等其他数据。研究人员发现Apple Watch和配对iPhone之间的数据信息并非实时同步, 在iPhone中删除的信息和卸载的APP并不会相应在Apple Watch上进行删除。因此对Apple Watch的数据进行提取将找到很多手机中已被删除的有价值的数据, 并可作为iPhone App数据删除恢复的来源。

2 智能手表取证方法研究

本文作者通过大量调查分析和一系列实验验证来研究智能手表的取证方法。通过市场调研, 选择了市面上比较流行的几款进行实验。这些智能手表的选择充分考虑到其搭载系统和适配系统, 以及具备的功能和面向用户等方面, 几乎包含了市场上智能手表的所有主流类型, 保证这些类型覆盖了80%以上的用户选择。本文的研究对象见表1

表1 实验用智能手表 Table 1 Smart watches for experiment

通过实验, 本文提出了几种在目前技术水平下可被广泛投入实战的智能手表取证方法。

2.1 通过USB连接电脑进行取证

通过研究发现, 具有外接数据接口的手表可以通过其外置的接口直接取证。目前市场上有部分智能手表, 可以通过表壳背面的触点(见图1)连接USB数据线进行充电和数据传输; 部分国产智能手表, 如本文实验中的好奔智能手表和GEAK Watch Pro智能手表, 会在手表外部直接留有USB数据接口或触点, 可直接连接电脑进行数据传输; 某些智能手表将数据端口整合到充电终端上, 如:三星将其手表Gear 2的USB连接线端口整合到对应的充电终端上, 借助其充电终端可以将智能手表与电脑进行连接[7], 在电脑上进行数据操作; 另一方面对于大部分外壳表面并没有数据传输接口的智能手表, 很多在表壳内部保留了USB插针[8], 因而可以尝试通过连接表壳内部的USB插针进行取证工作。由以上分析可知, 对可以通过USB连接到电脑的智能手表可以考虑通过USB连接线, 利用相应取证设备对智能手表中的数据进行提取和分析[9]

根据手表不同的型号和不同的系统可考虑采用物理提取或逻辑提取方法。1)物理提取方法。大部分国产智能手表采用MTK芯片, 连接电脑通过手机取证工具就可以直接获取到手表芯片的完整镜像并进行解析。项目组已对搭载MTK芯片的国产“ 好奔” 智能手表进行镜像提取并解析成功(见图2)。2)逻辑提取方法。对于无法进行物理提取的机型, 可考虑逻辑提取的方法。目前针对部分智能手表操作系统已可以获取系统权限进而进行取证。如基于Android Wear系统的部分手表型号已经可以通过刷入第三方Recovery刷机包或ROM的方法获取ROOT权限[10], 在此基础上可以对其进行更加全面的数据获取。

图1 具有USB数据接口和触点接口的智能手表Fig.1 Smart watches with a USB/contact port

图2 MTK芯片智能手表镜像提取Fig.2 Mirror-image extraction from an MTK-chip-installed smart watch

2.2 通过配对手机进行取证

目前几乎每款智能手表, 包括可以插入SIM卡进行独立电话拨打的手表, 都需要与对应的手机进行配对[11], 并与手机进行数据交互和同步。交互方式通常是在配对手机上安装对应的APP, 在该应用下进行一系列设置使得手机和手表之间可以进行同步交互。因此可以考虑将智能手表中的数据同步到对应的手机APP上, 再利用手机取证设备对手机中应用进行取证分析, 从而间接得到手表中的数据[12]。以Apple Watch为例, 它会将其中数据与配对iPhone进行同步, 因此对iPhone备份文件解析可以得到Apple Watch中的数据。笔者对有配对Apple Watch的iPhone的backup文件进行解析(见图3), 在路径“ \private\var\mobile\Library\DeviceRegistry” 下可以找到配对Apple Watch的很多信息, 比如该路径下的“ NanoAppRegistry” 文件夹下可以找到所有在Apple Watch上安装的应用[19]。此种方法尤其适用于没有物理接口的手表, 如上文中列出的Apple Watch、Moto 360二代、HiClingVOC、小米手环等不同种类的智能手表均可考虑采用此种方式来进行取证。

图3 iTunes backup文件解析结果Fig.3 Analysis result of an iTunes backup file

2.3 对手表存储芯片进行取证

部分机型的智能手表使用与手机类似的存储芯片。对于这类智能手表, 可直接对其硬件进行拆解, 得到存储芯片, 通过相应设备对芯片中的数据进行物理提取[13]并解析。这种方法可以得到智能手表最完整的数据, 但需要面对的困难是智能手表的硬件集成度更高, 拆解过程中可能容易损坏存储芯片, 对取证人员的技术水平有了更高的要求。笔者现已对GEAK Watch Pro等智能手表进行了拆解, 并成功提取到芯片数据镜像文件(见图4)。

图4 GEAK Watch Pro拆解图和主板Fig.4 Dismantling the GEAK Watch Pro and its mainboard

2.4 对手表的外置存储卡进行取证

受体积和技术的限制, 一部分智能手表(多数为国产山寨手表)机身内存较小, 需要通过外置存储卡进行数据存储, 在这种情况下手表的大多数媒体数据都会存储在其外置存储卡上(见图5), 因此对外置存储卡进行取证非常有必要。

2.5 对手表的SIM卡进行取证

目前市场上一部分智能手表以可单独进行通话为卖点, 如儿童电话手表等。这类手表可单独插SIM卡进行通话和发送短信(见图5), 由此产生的通话记录和信息数据有可能会存储在SIM卡中, 因此对其SIM卡的取证同样必不可少[14]

图5 具有SIM卡槽和存储卡槽的智能手表Fig.5 A smart watch installed of both SIM and SD card slots

3 智能手表取证进一步研究难点

由于智能手表具有体积小但数据复杂等特点, 取证工作仍面临很多困难需要继续解决。

3.1 无法进行有线连接的手表

由于要满足体积小巧外形美观等要求, 大多数智能手表没有用于数据传输的接口, 充电也通常采用无线充电的方式[15], 手表中的数据都是通过无线连接方式同步到手机上。在这种情况下, 过去在手机取证中常用到的USB连接电脑进行数据提取的方式就无法使用。虽然可以考虑采用上文中通过手机端获得部分数据, 但由于手机和手表间的同步并非实时, 且手表中数据并不会完全同步到手机上, 也就是说手机端和手表端的数据并非完全一致, 这种情况下对手表的单独取证变得尤为重要, 也将是未来智能手表取证的重要研究方向。

3.2 手表内部硬件结构复杂拆解困难

由于手表精巧紧凑的结构, 造成其内部硬件集成度非常高[16, 17, 18], 在采用对其拆解后直接读取芯片的方式时, 很可能在拆解过程中造成芯片被破坏, 因此对取证人员的拆解存储芯片能力提出了更高要求。另一方面智能手表可能采用定制的存储芯片[19], 因此对拆解下来的芯片进行数据提取可能也存在一定困难。

3.3 数据解析方法需要研究

由于受到运算能力和存储空间的限制, 智能手表中数据的存储方式与手机中的数据存储方式并不完全相同, 并且大多数智能手表采用了与智能手机不同的操作系统[20, 21]。因此在解析数据方面也需要进行进一步研究。

4 智能手表取证方法研究趋势

在研究过程中, 笔者提出了一些其它的方法和设想, 但限于目前国内外的技术水平, 这些方法仍需要进一步的研究, 不能被立刻用于实战。但对这些技术方法的了解和研究有助于拓展电子物证的取证思路, 突破取证瓶颈, 进而深化电子物证的取证工作, 促进电子物证专业发展。结合现有研究进展及上文中总结的智能手表取证难点, 本文列出其中两种思路以供参考。

4.1 通过无线连接对手表进行取证

就目前研究结果来看, 手表和其配对手机通过蓝牙、Wi-Fi等无线形式进行通讯和数据同步, 大部分仍采用一种较弱的加密机制SSL 2.0, 使用专门的破解工具很容易就可以将密码暴力破解出来[22], 而一旦破解之后就可以监控手表和手机之间传送的信息。目前智能手表的固件更新加密也非常不足, 这为我们通过无线的方式向手表的操作系统刷入取证需要的固件信息提供了便利。

4.2 云备份取证

目前主流电子产品厂商(如苹果, 华为等)为用户免费提供了云同步功能和一定大小的云存储空间以存储同步数据。用户可以将重要数据(如通讯录, 短信息, 相册, 系统设置等)同步备份到云空间, 在必要的时候再将这部分数据恢复到本地。该功能由于非常方便快捷, 大多消费者都会选择使用, 也是厂商推荐的方式。考虑到与手机配对的手表中的一部分信息也会被同步到云端, 因此对云备份进行取证, 也是获取手表中数据的一个有效途径。

5 总结

本文首先就目前国内外智能手表取证的现状进行了总结, 分析了智能手表取证的一些难点, 并在此基础上提出几种就目前技术水平可行的取证方法, 最后展望了未来可能的取证方法发展趋势。智能手表是近几年才新兴的电子产品, 国内外对它的取证技术还不够成熟, 仍然有很大进步空间。本文提出的几种取证方法通过实验验证可以被应用于实战, 希望能够为电子物证检验人员今后的工作提供帮助和参考。

The authors have declared that no competing interests exist.

作者已声明无竞争性利益关系。

参考文献
[1] 杨天一. 可穿戴设备[J]. 数据通信, 2015(2): 49-50. [本文引用:1]
[2] SCOTTG. Fitbit data increasingly used as court evidence[EB/OL]. (2015-07-03)[2016-11-23]. http://www.avoiceformen.com/featured/fitbit-data-increasingly-used-as-court-evidence/. [本文引用:2]
[3] GRIFFITHS S. Fitbit data is now being used in COURT: Wearable technology is set to revolutionise personal injury and accident[EB/OL]. (2014-11-17)[2016-11-23]. http://www.dailymail.co.uk/sciencetech/article-2838025/Fitbit-data-used-COURT-Wearable-technology-set-revolutionise-personal-injury-claims.html. [本文引用:1]
[4] PICKLESK. Police claim woman lied about being raped after her ‘Fitbit’ fitness watch showed she had not been dragged from her bed[EB/OL]. (2015-06-22)[2016-11-23]. http://www.dailymail.co.uk/news/article-3134701/Police-claim-woman-lied-raped-Fitbit-fitness-watch-showed-not-dragged-bed.html. [本文引用:1]
[5] GAZOLI H. New UFED release 4. 2. 2 offers exclusive support, impressive breakthroughs and enhanced decoding[EB/OL]. (2015-07-07)[2016-11-23]. http://blog.cellebrite.com/new-ufed-release-4-2-2-offers-exclusive-support-impressive-breakthroughs-and-enhanced-decoding/. [本文引用:1]
[6] 美亚柏科. [美亚技术分享]第五期: Apple Watch取证浅析[EB/OL]. (2015-07-08)[2016-11-23]. http://www.300188.cn/news/sharing-show-446.html. [本文引用:1]
[7] SUMSUNG. SUMSUNG SM-R380使用说明书[EB/OL]. [2016-11-23]. http://downloadcenter.samsung.com/content/UM/201407/20140708114718498/SM-R380_UM_Open_China_Chi_Rev.1.1_140701.pdf. [本文引用:1]
[8] 搜狐数码. Moto 360被黑客破解可刷其他ROM[EB/OL]. (2014-09-27)[2016-11-23]. http://digi.it.sohu.com/20140927/n404700124.shtml. [本文引用:1]
[9] HOOG A. 安全技术大系: Android 取证实战·调查、分析与移动安全[M]. 何泾沙, 译. 北京: 机械工业出版社, 2013. [本文引用:1]
[10] SARANG. How to install a custom ROM on Android wear? Root and install TWRP[EB/OL]. (2016-07-04)[2016-11-13]. http://www.Androidsage.com/2016/07/04/how-to-install-custom-rom-on-Android-wear-root-and-twrp/. [本文引用:1]
[11] SUMSUNG. SUMSUNG SM-R750使用说明书[EB/OL]. [2016-11-23]. http://downloadcenter.samsung.com/content/UM/201501/20150109140759720/SM-R750_UM_Open_China_Tizen_Chi_Rev.1.2_150106.pdf. [本文引用:1]
[12] MAHALIK H, TAMMA R, BOMMISETTY S. Practical Mobile Forensics[M]. 2nd Edition. Birmingham: Packt Publishing, 2016. [本文引用:1]
[13] BREEUWSMA M, DEJONGHM, KLAVER C, et al. Forensic data recovery from flash memory[J]. Small Scale Device Forensics Journal, 2007(1): 1-17. [本文引用:1]
[14] 王桂强. 手机物证检验及其在刑事侦查中的应用[J]. 刑事技术, 2006(1): 25-31. [本文引用:1]
[15] 冉玄同. 智能手表较智能手机更适合无线充电前景看好[EB/OL]. (2014-09-09)[2016-11-23]. http://www.hqew.com/info-284290.html. [本文引用:1]
[16] 电子产品世界. Pebble智能手表拆解: 维修工作几乎不可能[EB/OL]. (2014-01-27)[2016-11-23]. http://www.eepw.com.cn/article/221164.htm. [本文引用:1]
[17] Ifixit. Samsung Gear 2 Teardown[EB/OL]. [2016-11-23]. https://www.ifixit.com/Teardown/Samsung+Gear+2+Teardown/23990. [本文引用:1]
[18] Ifixit. Apple Watch Teardown[EB/OL]. [2016-11-23]. https://www.ifixit.com/Teardown/Apple+Watch+Teardown/40655. [本文引用:1]
[19] 尹品品. 苹果Apple Watch智能手表芯片S1详细解析[EB/OL]. (2015-08-26)[2016-11-23]. http://mt.sohu.com/20150826/n419808497.shtml. [本文引用:1]
[20] 网易手机. Android Wear手表系统发布 Moto360亮相[EB/OL]. (2014-06-26)[2016-11-23]. http://mobile.163.com/14/0626/02/9VKOQGID0011179O.html. [本文引用:1]
[21] 王超文. 三星摆脱 Google 的征兆: 运行Tizen的 Galaxy Gear[EB/OL]. (2014-02-19)[2016-11-23]. http://www.ifanr.com/402316. [本文引用:1]
[22] LENNON M. All Smartwatches Vulnerable to Attack: HP Study [EB/OL]. (2015-07-23)[2016-11-23]. http://www.securityweek.com/all-smartwatches-vulnerable-attack-hp-study. [本文引用:1]