当地警方执行搜查令并没收了一名涉嫌毒贩的手机,却发现他只给他的母亲和当地的披萨外卖打过电话,没有其他人。或者在一次报道旅行后,一名记者的手机被机场安检人员没收。但是当他们查看手机内容时,发现只有打给她家和编辑办公室的电话。他们放她走了,但几分钟后,在她安全离开后,真实的数据重新出现,包括她所有来源的姓名和号码。或者窃贼偷了你的手机,并将其连接到一个用于显示你的密码、照片和个人信息的设备上,却一无所获。
这些类似詹姆斯·邦德的情景不再是虚构的。如果你的手机可以对窥探的眼睛“撒谎”会怎么样?这就是最近由前苏格兰格拉斯哥大学计算机科学家卡尔-约翰·卡尔森在1月份于夏威夷举行的第47届夏威夷国际系统科学会议上提出的一种新技术的理念。
过去,想要向所谓的间谍软件隐藏数据的人们通常使用以下几种方法之一:一种是加密。另一种是“自毁”选项,如果程序以某种方式请求数据,则会删除数据。第三种是将信息隐藏在间谍软件不会查找的地方,或标记文件使其“不可见”。有时这些方法会结合使用。所有这些方法都有其局限性:加密密钥和密码可能会被发现。当然,数据自毁程序会销毁数据。“不可见”的文件可以被找到。可以使用这些技术来掩盖信息的应用程序本身可以被取证软件检测到。
支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻工作 订阅。通过购买订阅,您正在帮助确保未来关于塑造我们当今世界的发现和想法的具有影响力的故事的未来。
卡尔森的创新之处在于,他没有编写应用程序,而是修改了操作系统。修改后的系统向任何取证工具呈现虚假信息;隐藏是系统架构的一部分。分析师如果使用传统的搜索程序寻找可疑软件,将一无所获。
卡尔森说,使用运行 CyanogenMod 操作系统的 HTC Desire 手机,任何人都可以修改设备上的代码, CyanogenMod 是适用于 Android 系统的众多修改版本之一。(iPhone 的难度要大得多,因为苹果的系统不允许像 Android 那样轻松地进行此类修改。)他花了大约三周的时间才创建了一个可用的原型。
卡尔森用 CelleBrite 和 XRY 测试了他的黑客技术,这两种取证工具是警察部门在现场检查手机数据时常用的。CelleBrite 制造了一种通过 USB 电缆连接到手机的设备,而 XRY 则在笔记本电脑或 PC 上运行。两者都可以检索联系人列表、通话记录甚至密码。但是,当卡尔森运行他修改后的系统并插入手机时,取证程序只提取了“诱饵”数据——他编程到手机中的虚假信息,例如联系人列表中的电话号码。
该技术在 PC 或笔记本电脑上无效,因为可以完全从计算机中取出硬盘驱动器并绕过计算机的操作系统。然而,手机将数据存储在 SIM 卡或难以拆卸的芯片上。用于访问数据的软件在不同的手机之间有所不同,因此没有像基于 Windows 或 Mac 的硬盘驱动器那样查询手机的标准方法。此外,在不破坏手机并可能丢失其中有价值的信息的情况下,很难从手机中取出这些部件。
卡尔森说,他的黑客技术不会阻止真正复杂的分析。如果将手机送到联邦调查局或国家安全局,他们可以深入研究操作系统并确定它已被修改。甚至一些现场级别的取证工具也可能具有这种能力,尽管 CelleBrite 和 XRY 的制造商 Micro Systemation 拒绝回应询问。
如果掩盖数据成为普遍现象,可能会使一些刑事案件的审理更加困难。美国国家标准与技术研究院的指导方针表示,调查人员应注意不要更改设备上的任何数据,因为该证据可能会在法庭上使用,因为某些提取方法会让人怀疑其真实性。
计算机安全工具制造商 F-Secure 的首席研究官 Mikko Hypponen 表示,卡尔森的修改代表了间谍、执法部门和用户之间军备竞赛的另一个阶段。当他们中的任何一方取得技术进步时,另一方都会努力反制它。该研究还强调了寻找方法来保护合法隐私需求的问题。“这种工具可以用于好的方面,也可以用于坏的方面,”Hypponen 说。