<DFRWS USA 2019> - 2일차
【 2019. 7. 15. 】
□ Presentations: Access & Accessibility
◦ 좌 장 : Jessica Hyde (George Mason Univ. / Magnet Forensics)
◦ 발표 2
- 주제 : 탈옥*한 iOS 기기의 디지털포렌식 가능성 (원제 : Forensic Jailbreaking of iOS devices)
* iOS의 탈옥(Jailbreaking)은 Android의 Rooting과 동일한 개념으로, 보안취약점을 이용해 해당 운영체제의 최고 관리자 권한을 획득하는 것
- 발표자 : Bradley Schatz, Ph.D. (Schatz Forensic)
- 발표내용
△ 최근 아이폰 등 iOS 기기의 증거에 접근하는 것은 점점 더 어려워짐에 따라, 디지털포렌식 분석가들은 아이폰 등 iOS 기기의 탈옥에 관심을 가지게 됨
△ 디지털포렌식 과정에서 이러한 iOS 기기의 탈옥이 합법적인지 논의함
△ Elcomsoft社는 탈옥된 iOS 버전의 포렌식 툴킷을 제공함
· iOS 10: h3lix (iOS 10.0-10.3.3), 32-bit, https://h3lix.tihmstar.net
Meridian (iOS 10.0-10.3.3), 64-bit, https://meridian.sparkes.zone
· iOS 11: LiberiOS (iOS 11.0-11.1.2), 64-bit, http://newosxbook.com/liberios
Electra (iOS 11.0-11.1.2), 64-bit, https://coolstar.org/electra
△ 포렌식 도구 XRY 및 Apple iTunes 백업을 이용해, iOS 탈옥 前後 추출되는 디지털증거를 비교한 바 다음과 같음
|
탈옥 前後 추출 방법 |
탈옥 前 |
탈옥 後 |
|
XRY |
사진, 동영상 등 일부 파일들 추출됨 |
시스템 이미지, 문서, 항목별 로그, 통화기록, 이메일 기록 등 탈옥 前보다 많은 정보 추출됨 |
|
iTunes 백업 |
사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨 |
사진, 동영상 등 모든 파일들과 로그들 변경없이 추출됨 |
△ iOS 탈옥은 ① 이전 탈옥버전과 충돌할 우려가 있고, ②이전 탈옥버전의 흔적을 덮어씌울 수 있고, ③‘FindMyiPhone’ 기능을 활성화시킬 수 있고, ④ OS파일 재배치 등 타임스탬프의 변경 등이 이루어질 수 있으며, ⑤ 파티션 사이즈 조정이 이루어지는 등의 포렌식적 위험요인이 있음
△ iOS 탈옥은 대상 기기에 많은 양의 신뢰되지 않은 코드들을 설치함
· /Applications/Cydia.app
· /bin and /usr/bin
· /var/stash & /var/lib/cydia
· /var/mobile/Library/Preferences
· /var/MobileDevice/Provisioning profiles
· /usr/libexec/cydia/*
- 시사점
△ iOS 탈옥 前後 디지털증거의 무결성이 유지된다는 점을 실제 테스트를 통해 확인한 연구결과로서 큰 의미가 있음
△ iOS 버전별 탈옥 前後 포렌식 관점에서 추출가능한 정보 목록, 추출된 파일들의 Hash값 변경 여부, 타임스탬프 변경여부 등 테스트 후, iOS 기기의 분석과정에서 적용여부 등 검토 가능
'Digital Forensics' 카테고리의 다른 글
| DFRWS USA 2019 - 사이버수사 온톨로지 'CASE' (0) | 2019.10.17 |
|---|---|
| DFRWS USA 2019 - CSSL(Cyber Sleuth Science Lab) (0) | 2019.10.17 |
| DFRWS USA 2019 - 학교의 사이버위협 (0) | 2019.10.17 |
| DFRWS USA 2019 - NTFS 클러스터 할당행위 분석 (0) | 2019.10.17 |
| DFRWS USA 2019 - DB 포렌식 도구 'DB3F & DF-Toolkit' (0) | 2019.10.17 |
