由 Amnesty International 開發的 Mobile Verification Toolkit (MVT) 引發了關於現代移動作業系統中裝置安全與取證可訪問性之間固有權衡的重要討論。雖然 MVT 提供了檢測 Pegasus 等複雜間諜軟體的有價值工具,但社群討論揭示了對移動裝置取證的根本限制的更深層次擔憂,特別是在 iOS 裝置上。
關於移動驗證工具包(MVT)的要點
- 開發者: Amnesty International Security Lab(國際特赦組織安全實驗室)
- 釋出時間:2021年7月,作為 Pegasus Project 的一部分
- 目的:促進對可能被入侵的移動裝置進行知情同意的取證分析
- 平臺:支援 Android 和 iOS 裝置
- 命令:提供
mvt-ios和mvt-android命令 - 侷限性:依賴公開的入侵指標,可能會遺漏最新的取證痕跡
iOS 取證挑戰
- 自 iOS 15 起透過簽名系統卷(SSV)進行系統完整性驗證
- 無法訪問未經編輯的原始磁碟映像
- 無法完全恢復入侵後的系統
- 非持久性惡意軟體可透過裝置重啟清除
- 對安全敏感資料的備份能力有限
Android 取證挑戰
- 各應用程式的備份支援不一致
- 獲取 Root 許可權通常需要先擦除裝置
- SafetyNet/Play Integrity 可能會阻止修改過的裝置
- 許多應用程式拒絕在已獲取 Root 許可權的裝置上執行
 |
|---|
| 這張影像代表了移動驗證工具包(MVT),這是圍繞移動取證和安全挑戰討論中的一個關鍵工具 |
iOS 安全的取證困境
Apple 的 iOS 安全方法為取證分析帶來了重大挑戰。與傳統計算環境不同,iOS 裝置不允許所有者甚至安全研究人員訪問未經編輯的原始磁碟映像。這一限制雖然讓取證調查人員感到沮喪,但它作為一項關鍵安全功能,在裝置丟失、被盜或被沒收時保護使用者。
「iPhone 難以轉儲實際上是當您的手機被盜或被(或多或少看起來合法的組織或個人)帶走時,防止威脅的主要保護措施。總體而言,這是一件相當好的事情。」
然而,這種保護機制嚴重限制了進行徹底惡意軟體調查或在遭到入侵後完全恢復裝置的能力。安全專家指出,在傳統取證意義上,iOS 裝置入侵後的恢復基本上是不可能的。使用者只能安裝新的作業系統版本並恢復原始資料的一個子集,迫使每個應用程式和服務與實際上是一個新裝置重新建立信任關係。
系統完整性驗證與永續性威脅
現代 iOS 實現(特別是自 iOS 15 以來)透過 Signed System Volume (SSV) 等功能顯著改進了系統完整性驗證,其工作方式類似於其他平臺上的 dm-verity。這種方法將作業系統放置在使用雜湊樹驗證的單獨 APFS 卷快照上,使持久性惡意軟體越來越難以實現。
這些進步使真正持久的 iOS 惡意軟體相對罕見,即使是像 Operation Triangulation 這樣複雜的攻擊也無法為其植入物實現重啟永續性。然而,社群指出,非持久性惡意軟體仍然是一個重大威脅,因為許多使用者很少重啟他們的裝置。此外,針對持久使用者資料的零日漏洞在重啟後仍然可以被重新利用。
Android 的不同但相似的挑戰
討論揭示了 Android 面臨著類似的挑戰,儘管存在不同的權衡。雖然 Android 透過自定義 ROM 和 root 訪問許可權可能提供更多取證分析選項,但這些方法通常需要先擦除裝置——這使它們對於實際的受損裝置取證調查毫無用處。
與 iOS 相比,Android 的備份功能也明顯不一致。雖然 iOS 備份通常捕獲除 Secure Enclave 資料(如信用卡和 eSIM 金鑰)之外的所有內容,但 Android 的備份支援對應用程式來說是可選的,許多應用程式——特別是遊戲——根本不提供任何備份功能。
遠端認證爭議
討論中最有爭議的方面可能是圍繞遠端認證作為驗證裝置完整性的潛在解決方案。一些人認為,Apple 可以透過可選的遠端認證來驗證作業系統和基帶完整性,從而提供更好的安全性。然而,這種方法對計算自由提出了嚴重擔憂。
遠端認證技術,已經由 Google (SafetyNet/Play Integrity) 和 Apple 以各種形式部署,允許服務在提供訪問許可權之前驗證裝置的軟體狀態。雖然這可以防止受損裝置,但它也使服務能夠對使用者控制而非公司監督下的修改或自由裝置進行歧視。
社群在這個問題上似乎深度分歧,一些人將遠端認證視為一種不可避免但令人擔憂的發展,威脅著計算自由,而其他人則認為更細粒度和使用者控制的認證模型可以提供一條中間路徑。
隨著移動威脅的不斷發展,安全、隱私和控制之間的張力仍然是移動取證的核心。像 MVT 這樣的工具為知情同意的取證分析提供了有價值的功能,但移動作業系統的根本限制確保了全面的裝置安全將繼續涉及保護和可訪問性之間的艱難權衡。