数字取证：诞生在笼子里的“黑科技”

图片来源@视觉中国

文｜脑极体

在今天，你还会用密码解锁手机吗？

相信比起复杂的数字和手势解锁，更多人选择的还是更快捷的生物识别，用指纹或人脸来解锁手机。

但很多时候，当一个人意外身亡或遇到一些特殊情况，需要打开手机时，数字或手势密码就成了方便他人解锁的唯一选择。可从另一角度讲，保留数字密码这一机制，也一定程度上影响了手机安全，比起生物特征识别，数字密码的破解难度非常之低。

而关于数字解锁的破解与授权，也成了手机行业最有趣的话题之一。

苹果公司和FBI的角力，让人们第一次认识到数字取证

在2015年末，美国加州发生了著名的圣贝纳迪诺枪击案，有十四名无辜的群众在这场袭击中失去性命，还有数十人受伤。

在调查犯罪时，FBI获得了其中一位在现场丧生罪犯的手机——一款iPhone 5C，FBI希望苹果公司能够提供协助，帮助他们破解犯罪分子的手机，获得内部数据来继续追查案件。

但出人意料的是，苹果公司拒绝了FBI的要求，理由是一旦打开了内部加密的“后门”就很难再关上，到时候苹果公司无法再保证用户的隐私。

当时双方拉锯了相当长一段时间，也引发的不少舆论层面的争执。曾经推特上很多人评价苹果公司是戏精（drama queen），挑着这种关键时刻展示自己的政治正确，对受害者不公。也有人支持苹果的决定，认为FBI就是想趁机监视民众隐私。

不过很快FBI就公开悬赏，以100万美元的高价悬赏，找第三方取证企业来破解手机。

很快一家名为Cellebrite的以色列企业接下了这项工作，仅仅用了几天的时间就完成了完美的破解。相关披露文件中称，这项技术名为“高级解锁与数据提取服务”，除了iPhone和iPad，安卓系的三星、华为、Nexus也都在这家公司的服务范围内。

从这桩新闻开始，第三方破解电子设备、供执法部门取用这一方式才为人所知，一般来说我们把这种服务叫“数字取证”。

“催生”数字取证的，是为了隐私不近人情的手机厂商吗？

但数字取证并不只是破解电子设备，在2014年美国一家数字取证实验室曾经向外公布过数据，他们取证的设备中有30%都是来自受害者或者证人自身，他们也是自愿将电子设备交给实验室。

而人们对数字取证的需求也越来越旺盛。尤其是当人脸识别和指纹识别应用的越来越多时，很多人自己都不会记住自己的解锁密码，更别提为了以防万一告诉身边的家人朋友。

就在几个月前苹果还出了这样一个案例，一位父亲意外丧生，而妻子希望苹果公司能够协助她解锁手机，找到其中夫妻与孩子相处拍摄的视频。可苹果公司却在互相踢皮球中拒绝了她的要求，让她准备大量证明文件、遗嘱甚至还要收费1000美元。最终在事件在社交媒体上发酵后，苹果才派出专人为她解决问题。即使如此，苹果公司依然强调为了保护用户隐私，在没有授权的情况下，即使是亲人也不能打开去世用户的电子设备。

换句话说，我们的世界上正在发生着这样的情况：如果有人去世，家人朋友怀疑他的死因与其他人有关，只能依靠报警立案邀请第三方取证公司才能完成解锁。或者有人失踪了，家人想从电子设备里获取他的动向，也只能报警立案、第三方取证。

那如果因为证据不足无法立案呢？

恭喜你，落入了立案才能取证+没证据不能立案的怪圈里了。

说了这么多，其实只是证明了一件事，当我们的生活和电子产品联系的越来越紧密，电子产品的安全程度也越来越高时，第三方数字取证的需求量也在大大增加。

这种情况下，数字取证还能像几年前只服务于政府机构的Cellebrite那样，把技术关在笼子里吗？

2018年的灰钥匙，为什么会让苹果用户恐慌？

可怕的就是，技术或许正在破笼而出。

或许很多人还记得，今年年初出现了一款名为灰钥匙（Graykey）的产品，一个小小的黑盒子，两根lighting线，连接上手机后就能靠绕过苹果密码错误CD机制来破解iPhone密码。这台售价15000美元的机器，可以完美破解iOS 11.2.5版本下的iPhone X。

虽然灰钥匙也严正声明自己只对执法机构开放，但这种产品形态相比上一次因此大家关注的Cellebrite已经有了本质上的变化。

1、 灰钥匙的产品完成度极高，甚至在操作上都清晰而简单。如果设备不小心流入他人手中，会很容易被利用犯罪。

2、 灰钥匙的运行方式包括了联网使用，将手机数据上传到云端进行分析，用户在官网上获取结果。而数据在传输的过程中，就有极大的被劫持风险。

3、 灰钥匙的商业模式非常清晰，销售的非常广泛。灰钥匙通常是以1台设备+N次解锁授权的模式销售，消息显示光是一个订单上印第安纳州警方就一次购买了300次解锁授权。当解锁权限从FBI发展到县警察局，真的能够保证不被滥用吗？

不光这些站在光明处的数字取证机构让我们担忧，我们更害怕的，是光明的另一面。

例如，随着人工智能的发展，手机破解的技术正在飞快增长。就像最新有学术机构研究提出，通过对手机内部陀螺仪、加速器、地理位置的综合挖掘，可以按照手机的微微晃动来判断出手机解锁密码。甚至通过摄像头拍摄到的输入密码手势，也能破解密码。

或者那些曾经合法、后来又被淘汰的数字取证产品、技术、工作人员最终都会不知道流向何方。像现在我们随处都可以用很便宜的价格购买到一种名为ipbox的产品，用来解锁iOS 8和以下版本的iPhone 5、iPhone 4s等等老产品。难道那些旧手机中的隐私，就不值得保护了吗？今天神乎其神的灰钥匙，会不会也会在几年后流向大众市场被随意购买？

躲着笼子走

如果从一开始苹果公司就制定好解锁政策，杜绝了第三方数字取证企业的生存空间，这一切是不是都不会发生呢？

想想就知道，也不尽然。当你在电子设备存放所有家当和秘密时，厂商告诉你他为一切特殊情况和执法部门留好了后门，在需要时有人会把你的电子产品从里到外翻个遍。相信很多人会有种吞了苍蝇的感觉。

何况我们不能要求受害方表现完美，从而阻止施害者进行犯罪。不论厂商制定了多么合理的政策，依然不能阻止窃贼们用邪门歪道破解电子设备。

在这种情况下，我们可以给大家列出几条“反数字取证”建议：

1、 请保证你的密码不只有你一个人知道。或许是告诉亲人挚友，或许是记录在其他介质上，防止真的有意外发生时，没人能打开你的手机帮助你。

2、 设置更长的密码。从ipbox到灰钥匙，暴力破解仍然是解开手机的有效方式，设置更长的密码可以延长破解时间，也加大了不法分子的犯罪成本。据说以现在的算力来看，20位差不多够用了。

3、 随时更新OS版本，清空那些无法再更新的电子产品。不用对灰钥匙感到害怕，在iOS 12中，苹果已经堵住了这一漏洞。实际上在每个版本的更新中，几乎都会针对安全问题做一些提升。你说手机太旧了更新不了？那最好的方法就是将它彻底清空。

从某种角度来说，数字取证是一种诞生在笼子里的科技，正因为生于禁锢，所以才格外凶险。既然一时半会儿做不到拆散笼子和野兽和平相处，那么普通人能做到的，最好是绕着笼子走。

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App