從網路翻譯影片學習 AirDrop 鑑識是不是搞錯了什麼？

前言

https://www.youtube.com/watch?v=2U2VI-EJZog&t=88s

這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能，傳送「炸彈威脅」給多名乘客，最後飛機緊急降落，男子也隨即遭警方逮捕。』

有趣的是，我們看到警方落地後很明確知道他們要抓的是誰，雖然警方能夠獲得乘客名單，但他們怎麼知道是誰發的？這就激發了我的好奇心。

假設事件

首先，我在思考他們怎麼知道誰發的，我假設了兩種方向。

• AirDrop 接收檔案後是不是有資訊可以判斷誰傳的？
• 丟訊息的時候會顯示裝置名稱( XXX’s iPhone)，是不是傳訊息的人沒有改手機名？

顯然，後者有點太直接了，雖然最後我看完整個執法過程認為非常有可能是後者。

但我們還是來看看我是怎麼推斷的吧！

AirDrop 鑑識的資料研究

首先開始搜集 AirDrop Forensics 的資料 ，我們找到一篇淺顯易懂的部落格文章，簡單摘要幾種可以幫我們 Forensics AirDrop 的類型。

• iOS unified log ：雖然這個方式沒辦法很直接讓我們知道哪些檔案是透過 AirDrop 進來，但透過時間比對可以知道曾經有 AirDrop 互動過，從而判斷哪些檔案可能是從 AirDrop 進來的。
• 封包監聽：如果你稍微了解 AirDrop 原理，它是先透過藍芽溝通後用 WiFi 傳輸，所以是有機會可以分析的，但部落格作者自己是沒實踐出來。想深入了解相關知識的話，推薦一下好朋友在 BlackHat EU 講過的相關研究，例如有機會追蹤 iDevice 的 ID，詳情可以看簡報了解更多這方面的細節。
• metadata: 這邊有趣的是，當文件傳輸到蘋果裝置時，蘋果會在 file system 裡面加上註記，所以當複製檔案到其他系統後，這些資訊是會消失的，我們可以從這些資訊中獲得 AirDrop 過來檔案的裝置名稱。

我們大概知道哪些方式可以獲得 DeviceID 或是可以推敲出傳送者資訊的相關方式，接下來就要回來分析事件。我們可以先排除掉兩件事（前提是不假設緊急危難啟動什麼神奇後門調查）：

1. 封包監聽：事件是突發的，當下不可能有專業人員隨時錄製封包來做調查。
2. 依靠發送訊號推敲來源：手機發送範圍太不固定，不同型號的手機發送範圍不同，很難精準排查。

剩下一種就是把收到的訊息留下來，依靠收訊者手機來去做鑑識，最有可能的方式應該是靠 metadata 來去判斷。

驗證猜想

最後，我們要去看執法過程的影片，完整影片連結在此：https://youtu.be/VbYL8sFjJZM

我這邊節錄幾個重要時刻，提供重要時段傳送門：

1. 當地時間 09:52 分：執法人員尚未進入飛機，但已經鎖定嫌疑人的年紀與著裝，所以這很明顯並沒有取得收到威脅訊息的手機，就完成了嫌疑犯鎖定。
2. 當地時間 10:00分：嫌疑人被逮捕，可以確定他拿的是 iPhone，至少確定當事人不是沒有 Apple 裝置或是筆電，抓錯人的機率降低了。
3. 回到更早之前 09:21 分：另外一位執法人員與機組人員聯絡。很明顯執法人員知道有鎖定嫌疑人，但執法人員不曉得怎麼鎖定的（？）。機組人員也表示她不清楚，只知道其他同仁通知機長，機長聯絡塔台。

所以到這邊全部看完我們大概就能推斷，是機上人員自己就鎖定了嫌疑人，再把資訊提前告知準備登機的執法人員，而普通人能做的就是靠「發送者名字」鎖定嫌犯。如果發送者名字可以連接到現實中的嫌疑人姓名（機組人員與機場獲得飛機乘客名單應該是很簡單的事），嫌犯就能順理成章地浮出水面。

結論

今天這篇非常小品，原因是最近有許多演講、課程要處理，其中包括和學生分享學習資安的經驗。這讓我回想起以前有學生問我，怎樣才能成為優秀的資安研究員？雖然我自認自己離真正優秀還有一些距離。但我認為，成為優秀的資安研究員沒有訣竅，而是依賴一種特質。

優秀研究員擁有相似的特質，對事物充滿天然的好奇心與求證態度（反骨？）。他們對挑戰有獨特的反應，對新事物總是充滿興趣，這不僅體現在工作，更滲透在他們的生活中，不是下班就停止求知，更多時候是換其他的項目繼續探索。我認為這種心態適用於許多場合，而我也在許多優秀的朋友身上看到了這種特質。如果你在猶豫自己適不適合成為資安研究員，或許可以從這個層面思考。