ADVERTISEMENT
GrayKey 是一種全球執法部門都在使用的電話解鎖和鑑識工具,根據《404 Media》 獲得的詳細描述該工具功能的文件,它只能從運行 iOS 18 或 iOS 18.0.1 的所有現代 iPhone 中檢索部分資料,這是Apple公司行動作業系統的兩個最新版本。這些文件似乎沒有包含關於 GrayKey 可以從 10 月 28 日發表的 iOS 18.1 公開版本中存取哪些內容的訊息。
這次洩漏對於生產 Graykey 的高度保密公司 Grayshift 來說是前所未見的,這家高度保密的公司在被另一家數位鑑識公司 Magnet Forensics 收購之前製造了 GrayKey。儘管其主要競爭對手之一 Cellebrite 之前也曾面臨類似的洩露,但這是第一次有人公布 GrayKey 能夠或不能存取哪些手機。
這些文件也詳細分析了Graykey 對 Android 裝置的取證能力,提供了前所未見的洞察,讓我們了解 Magnet 等鑑識和漏洞開發公司與手機製造商Apple和Google之間正在進行的貓捉老鼠遊戲。
ADVERTISEMENT
Graykey 在 iOS 18.0 版本(於 9 月 16 日公開發佈)上,對於 iPhone 12 到最新的 iPhone 16 系列,僅能進行「部分」數據提取。對於執行 iOS 18.0.1(10 月 3 日發佈)的 iPhone 也是如此。
該文件沒有列出「部分」檢索中包含哪些確切類型的資料,Magnet 拒絕評論其中包含哪些資料。2018 年,《富比士》報導稱,部分提取只能提取未加密的文件和一些元資料,包括文件大小和文件夾結構。
儘管如此,新文件表明 GrayKey 無法從現在的 iPhone 中獲取所有資料。
ADVERTISEMENT
在運行 iOS 18.1 的測試版本上,Graykey 的能力大幅減少,文件顯示各種 18.1 測試版的 iPhone 型號均顯示「無法」提取。文件未說明此狀況是否因為 Magnet 的研究人員在編寫文件時尚未開發出針對 18.1 的攻擊,還是 iOS 18.1 具有顯著的安全升級。
Apple尚未發表運行 iOS 18 或 18.1 的 iPhone 數量的官方資料。在 10 月份接受 CNBC 採訪時,Apple首席執行長提姆·庫克表示,使用者採用 18.1 的速度是 17.1 的「兩倍」。
ADVERTISEMENT
GrayKey 對 Android 設備的功能更為複雜,這可能是由於不同 Android 設備之間存在很大差異,這些設備由眾多公司製造。根據該文件,對於Google自己的 Pixel 系列手機,GrayKey 只能提取最新 Pixel 設備上的部分資料,包括 8 月份發表的 Pixel 9。前提是手機處於首次解鎖後 (AFU) 狀態時,也就是有人(在許多情況下可能是手機的所有者)自開機以來至少解鎖過一次設備。該文件顯示了截至 10 月份的功能。
《404 Media》 採訪了數位鑑識公司 Garrett Discovery 的首席執行長安德魯·加勒特( Andrew Garrett ),他的公司經常處理使用從手機中獲取的證據的案件。加勒特在一封電子郵件中說:「Garrett Discovery 的專家每年處理超過 500 起刑事辯護案件,這份清單與 GrayKey 軟體的功能和報告一致。」
《404 Media》也將文件展示給曾使用過 Graykey 的取證行業人士。他們表示,該文件看起來與他們以前看到的類似,儘管他們無法驗證其當前的功能。
ADVERTISEMENT
這些文件中多次提到「AppLogic」的版本號,這是 Magnet 使用的一個術語。根據網路上公開的一個招聘訊息中,Magnet 寫道:「GrayKey AppLogic 團隊正在壯大!隨著這種增長,我們正在尋找一個可以幫助我們整合更多 Magnet Forensics 產品線的人。」Magnet 的網站也連結到關於 AppLogic 的文檔,但需要登錄才能查看。
《404 Media》 還將文件中列出的功能與網上提供的片段訊息進行了交叉引用。例如,美國國土安全部在 2022 年測試了 GrayKey,發現它可以從運行 iOS 15.1 的 iPhone 11 中提取完整資料。該文件也這麼說。Magnet 多年來也經常宣布它能夠存取以前的 iOS 版本,包括 16 和 17。
今年早些時候,《404 Media》 報導了 Magnet 競爭對手 Cellebrite 的類似洩露事件。這些文件顯示,截至 2024 年 4 月,Cellebrite 無法從大量現在的 iPhone 中檢索資料。不久之後,一個注重隱私的論壇上的一個使用者發表了另一組明顯是 Cellebrite 檔案的更新版本,顯示該公司已取得一定進展,能夠從運行 iOS 17.5 和 17.5.1 的裝置中提取數據。
換句話說,儘管 GrayKey 或 Cellebrite 等工具可能無法從運行一兩個月前發表的作業系統版本的手機中檢索任何資料,但從歷史上看,它們最後都能趕上進度,並設法從手機中獲取部分訊息。
這種動態體現了鑑識公司與手機製造商之間持續存在的緊張關係。2018 年,《富比士》首次報導了 GrayKey 的存在,這在鑑識和執法界引起了震動。當時,人們普遍認為 iPhone 極難存取,部分原因是兩年前Apple拒絕為聯邦調查局構建存取聖貝納迪諾槍擊案兇手的 iPhone 的功能。當一家鮮為人知但非常重要的政府承包商 Azimuth Security 為美國當局破解了該設備後,美國司法部撤銷了對Apple的訴訟。
與 GrayKey 公開亮相的同一年,Apple試驗了一項名為 USB 限制模式的功能,如果 iPhone 在一段時間內沒有解鎖或連接到電腦,該功能就會禁用 Lightning 連接埠。「你不能用它來同步或連接配件。在這個時候,它基本上只是一個充電連接埠,」曾在Apple擔任安全工程師,後來又為 Grayshift 工作的布拉登·湯瑪士(Braden Thomas)在 2018 年的一條僅限客戶的消息中解釋道。
儘管這帶來了一些問題,但從洩露的 GrayKey 和 Cellebrite 文件來看,鑑識公司找到了新的解決方案。然後在本月早些時候,《404 Media》 報導稱,Apple悄悄地加入了一段程式碼,如果運行 iOS 18 及更高版本的 iPhone 在一段時間內沒有解鎖,就會重新啟動。其影響是,警方發現自己無法存取他們為進行鑑識檢查而扣押的設備。
這就是加密辯論暫時平息的現狀:鑑識公司發現漏洞,Apple或Google修復它們或引入新的補救措施,然後持續循環。某種程度上,這也是為何自聖貝納迪諾事件後,沒有再發生大規模法律糾紛的原因之一。
Apple承認收到了媒體的詢問,但沒有回覆詢問的電子郵件。Google則拒絕發表評論。Magnet Forensics 的發言人里克·安德拉德(Rick Andrade)也拒絕發表評論。
到 2020 年,Grayshift 推出了其解鎖工具的「行動」版本。2021 年,該公司推出了對破解 Android 設備的支援。
ADVERTISEMENT