從網路翻譯影片學習 AirDrop 鑑識是不是搞錯了什麼?

更新於 發佈於 閱讀時間約 4 分鐘
raw-image

前言

https://www.youtube.com/watch?v=2U2VI-EJZog&t=88s

這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能,傳送「炸彈威脅」給多名乘客,最後飛機緊急降落,男子也隨即遭警方逮捕。』

有趣的是,我們看到警方落地後很明確知道他們要抓的是誰,雖然警方能夠獲得乘客名單,但他們怎麼知道是誰發的?這就激發了我的好奇心。

假設事件

首先,我在思考他們怎麼知道誰發的,我假設了兩種方向。

  • AirDrop 接收檔案後是不是有資訊可以判斷誰傳的?
  • 丟訊息的時候會顯示裝置名稱( XXX’s iPhone),是不是傳訊息的人沒有改手機名?

顯然,後者有點太直接了,雖然最後我看完整個執法過程認為非常有可能是後者。

但我們還是來看看我是怎麼推斷的吧!

AirDrop 鑑識的資料研究

首先開始搜集 AirDrop Forensics 的資料 ,我們找到一篇淺顯易懂的部落格文章,簡單摘要幾種可以幫我們 Forensics AirDrop 的類型。

  • iOS unified log :雖然這個方式沒辦法很直接讓我們知道哪些檔案是透過 AirDrop 進來,但透過時間比對可以知道曾經有 AirDrop 互動過,從而判斷哪些檔案可能是從 AirDrop 進來的。
  • 封包監聽:如果你稍微了解 AirDrop 原理,它是先透過藍芽溝通後用 WiFi 傳輸,所以是有機會可以分析的,但部落格作者自己是沒實踐出來。想深入了解相關知識的話,推薦一下好朋友在 BlackHat EU 講過的相關研究,例如有機會追蹤 iDevice 的 ID,詳情可以看簡報了解更多這方面的細節。
  • metadata: 這邊有趣的是,當文件傳輸到蘋果裝置時,蘋果會在 file system 裡面加上註記,所以當複製檔案到其他系統後,這些資訊是會消失的,我們可以從這些資訊中獲得 AirDrop 過來檔案的裝置名稱。

我們大概知道哪些方式可以獲得 DeviceID 或是可以推敲出傳送者資訊的相關方式,接下來就要回來分析事件。我們可以先排除掉兩件事(前提是不假設緊急危難啟動什麼神奇後門調查):

  1. 封包監聽:事件是突發的,當下不可能有專業人員隨時錄製封包來做調查。
  2. 依靠發送訊號推敲來源:手機發送範圍太不固定,不同型號的手機發送範圍不同,很難精準排查。

剩下一種就是把收到的訊息留下來,依靠收訊者手機來去做鑑識,最有可能的方式應該是靠 metadata 來去判斷。

驗證猜想

最後,我們要去看執法過程的影片,完整影片連結在此:https://youtu.be/VbYL8sFjJZM

我這邊節錄幾個重要時刻,提供重要時段傳送門:

  1. 當地時間 09:52 分:執法人員尚未進入飛機,但已經鎖定嫌疑人的年紀與著裝,所以這很明顯並沒有取得收到威脅訊息的手機,就完成了嫌疑犯鎖定。
  2. 當地時間 10:00分:嫌疑人被逮捕,可以確定他拿的是 iPhone,至少確定當事人不是沒有 Apple 裝置或是筆電,抓錯人的機率降低了。
  3. 回到更早之前 09:21 分:另外一位執法人員與機組人員聯絡。很明顯執法人員知道有鎖定嫌疑人,但執法人員不曉得怎麼鎖定的(?)。機組人員也表示她不清楚,只知道其他同仁通知機長,機長聯絡塔台。

所以到這邊全部看完我們大概就能推斷,是機上人員自己就鎖定了嫌疑人,再把資訊提前告知準備登機的執法人員,而普通人能做的就是靠「發送者名字」鎖定嫌犯。如果發送者名字可以連接到現實中的嫌疑人姓名(機組人員與機場獲得飛機乘客名單應該是很簡單的事),嫌犯就能順理成章地浮出水面。

結論

今天這篇非常小品,原因是最近有許多演講、課程要處理,其中包括和學生分享學習資安的經驗。這讓我回想起以前有學生問我,怎樣才能成為優秀的資安研究員?雖然我自認自己離真正優秀還有一些距離。但我認為,成為優秀的資安研究員沒有訣竅,而是依賴一種特質。

優秀研究員擁有相似的特質,對事物充滿天然的好奇心與求證態度(反骨?)。他們對挑戰有獨特的反應,對新事物總是充滿興趣,這不僅體現在工作,更滲透在他們的生活中,不是下班就停止求知,更多時候是換其他的項目繼續探索。我認為這種心態適用於許多場合,而我也在許多優秀的朋友身上看到了這種特質。如果你在猶豫自己適不適合成為資安研究員,或許可以從這個層面思考。

avatar-img
22會員
10內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
駭客花生醬的沙龍 的其他內容
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案的優缺點。
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案的優缺點。
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
你可能也想看
Google News 追蹤
Thumbnail
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約) 今天我會用不同角度帶大家看這款國泰世華CUB
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
Thumbnail
在 Apple 的生態系中,AirDrop 是一項非常核心的傳輸功能, 它能夠輕鬆將 iPhone、iPad 和 Mac 之間進行連接, 形成一個高效且穩定的資料傳輸網絡。這使得用戶可以快速分享照片、文件、影片等檔案, 無需借助任何第三方應用或網路連線。 那麼,這個看似強大且便捷的 AirD
Thumbnail
我們經常使用 iPhone 工作、溝通,因此裝置會存有大量的對話紀錄與重要數據。 遇到 Apple 手機遺失的問題時,你一定會擔心資料外洩的風險,但究竟要從何下手找回手機呢? 蘋果向來非常注重用戶的個資安全,所以開發了「尋找」程式與 iPhone 遺失模式, 以協助你找回不見的裝置。不管是
Thumbnail
我們經常使用 iPhone 工作、溝通,因此裝置會存有大量的對話紀錄與重要數據。 遇到 Apple 手機遺失的問題時,你一定會擔心資料外洩的風險,但究竟要從何下手找回手機呢? 蘋果向來非常注重用戶的個資安全,所以開發了「尋找」程式與 iPhone 遺失模式, 以協助你找回不見的裝置。不管是手機
Thumbnail
蘋果在 iOS 17.3 更新中加入了一項新的安全性功能iPhone 遭竊裝置防護,啟用此功能後, 可避免小偷或竊賊偷走你的 iPhone 後立刻重置 Apple ID 密碼, 也能進一步防止對方立即關閉「尋找我的 iPhone」功能,替我們爭取找回 iPhone 的時間。 什麼是iPho
Thumbnail
AirTag 是蘋果公司開發的物品追蹤器, 於2021年4月20日在發表會上發布。美國單件售價29美元。 使用藍牙信號與內建 Apple U1 超寬頻晶片的 IPhone 進行定位(搭配「查找」網絡), 它可以搭配另外購買的配件懸掛在物件上,當物主找不到物品時顯示其位置並指引物主方向至其位置。
Thumbnail
警方透過法律程序和合作來追蹤詐騙集團位置,可能使用數據追蹤技術和合作情報分享等方法。被詐騙後,受害者可報案調查並透過法律途徑、國際合作、金融機構協助或私人調查追討款項。
Thumbnail
Apple 旗下的產品 iPhone, iPad, Macbook, AirPods 都有 Find Me 的功能,幫助用戶定位自己的 Apple 裝置,也可以跟家人朋友分享自己的位置資訊。 本文將介紹 Apple Find Me 功能的運作原理和如何在裝置關機後還能使用的方式。
Thumbnail
當您發現有人偷看您的手機,一定感到震驚和不愉快,這不僅侵犯了您的隱私,也可能觸犯刑法第315-1條的妨害祕密罪,最重可處三年有期徒刑。但如果是為了外遇證據而偷看手機,能否當成正當理由而避免刑事責任呢?而被偷看手機的人又要如何證明自己手機被偷看?保護個人隱私是每個人的權利,接下來將告訴你具體做法...
Thumbnail
AirTag是蘋果要價990元的配件機制,目的是為了防止丟失東西!利用蘋果裝置可以協助搜尋此AirTag,利用寬頻低耗電機制,可以低干擾的提示此配件位置。 讀者可以簡單想像原理其實就是口耳相傳,我們人找人的時候,一般都是眼睛看到一定距離後嘴巴傳達給其他人,通知其他人目標的位置。相對的此時配
Thumbnail
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約) 今天我會用不同角度帶大家看這款國泰世華CUB
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
Thumbnail
在 Apple 的生態系中,AirDrop 是一項非常核心的傳輸功能, 它能夠輕鬆將 iPhone、iPad 和 Mac 之間進行連接, 形成一個高效且穩定的資料傳輸網絡。這使得用戶可以快速分享照片、文件、影片等檔案, 無需借助任何第三方應用或網路連線。 那麼,這個看似強大且便捷的 AirD
Thumbnail
我們經常使用 iPhone 工作、溝通,因此裝置會存有大量的對話紀錄與重要數據。 遇到 Apple 手機遺失的問題時,你一定會擔心資料外洩的風險,但究竟要從何下手找回手機呢? 蘋果向來非常注重用戶的個資安全,所以開發了「尋找」程式與 iPhone 遺失模式, 以協助你找回不見的裝置。不管是
Thumbnail
我們經常使用 iPhone 工作、溝通,因此裝置會存有大量的對話紀錄與重要數據。 遇到 Apple 手機遺失的問題時,你一定會擔心資料外洩的風險,但究竟要從何下手找回手機呢? 蘋果向來非常注重用戶的個資安全,所以開發了「尋找」程式與 iPhone 遺失模式, 以協助你找回不見的裝置。不管是手機
Thumbnail
蘋果在 iOS 17.3 更新中加入了一項新的安全性功能iPhone 遭竊裝置防護,啟用此功能後, 可避免小偷或竊賊偷走你的 iPhone 後立刻重置 Apple ID 密碼, 也能進一步防止對方立即關閉「尋找我的 iPhone」功能,替我們爭取找回 iPhone 的時間。 什麼是iPho
Thumbnail
AirTag 是蘋果公司開發的物品追蹤器, 於2021年4月20日在發表會上發布。美國單件售價29美元。 使用藍牙信號與內建 Apple U1 超寬頻晶片的 IPhone 進行定位(搭配「查找」網絡), 它可以搭配另外購買的配件懸掛在物件上,當物主找不到物品時顯示其位置並指引物主方向至其位置。
Thumbnail
警方透過法律程序和合作來追蹤詐騙集團位置,可能使用數據追蹤技術和合作情報分享等方法。被詐騙後,受害者可報案調查並透過法律途徑、國際合作、金融機構協助或私人調查追討款項。
Thumbnail
Apple 旗下的產品 iPhone, iPad, Macbook, AirPods 都有 Find Me 的功能,幫助用戶定位自己的 Apple 裝置,也可以跟家人朋友分享自己的位置資訊。 本文將介紹 Apple Find Me 功能的運作原理和如何在裝置關機後還能使用的方式。
Thumbnail
當您發現有人偷看您的手機,一定感到震驚和不愉快,這不僅侵犯了您的隱私,也可能觸犯刑法第315-1條的妨害祕密罪,最重可處三年有期徒刑。但如果是為了外遇證據而偷看手機,能否當成正當理由而避免刑事責任呢?而被偷看手機的人又要如何證明自己手機被偷看?保護個人隱私是每個人的權利,接下來將告訴你具體做法...
Thumbnail
AirTag是蘋果要價990元的配件機制,目的是為了防止丟失東西!利用蘋果裝置可以協助搜尋此AirTag,利用寬頻低耗電機制,可以低干擾的提示此配件位置。 讀者可以簡單想像原理其實就是口耳相傳,我們人找人的時候,一般都是眼睛看到一定距離後嘴巴傳達給其他人,通知其他人目標的位置。相對的此時配