地理位置数据可以为各种政府机构提供需要的信息,执法机构使用位置数据来锁定嫌疑人位置。但是,地理位置数据可不限于刑事或民事调查,比如日常的紧急响应服务也要使用位置数据来服务需要帮助的人员,出租车和送货服务也要使用位置来改善服务。还有更多的例子表明位置数据是至关重要的。最近,许多政府已经开始使用或正在考虑使用地理位置数据来帮助识别和隔离受感染的民众。
那位置数据从何而来,如何提取?
地理位置数据的来源
位置数据的来源可以有很多种,可以分为3大部分:
1. 移动设备本身,数据存储在物理设备上并从物理设备中提取。
2. 云服务,位置数据被上传至一个或多个云服务,或与之同步的云服务,例如Android智能手机对应的谷歌账户。
3. 第三方云服务,许多移动应用程序,如健身和训练应用程序、一些游戏和在线存储服务(如OneDrive、Dropbox)可能会将地理位置数据存储为位置点或存储在图片元数据中。
4. 呼叫详细记录(CDR),无论用户使用何种移动设备(智能手机、功能手机或LTE智能手表等嵌入式设备),数据都由移动服务提供商收集、存储并向相关部门披露。
从移动设备中提取位置数据是很诱人的,尤其是考虑到即使是最新的iPhone型号和iOS版本也有很多可利用的漏洞和获取方法。然而,分析Android智能手机的位置数据可能会适得其反,因为谷歌在云中存储了一个更长的、更全面的数据版本,这些数据与用户的谷歌帐户绑定在一起。
有趣的是,位置数据并不局限于简单的位置点,他们可以从智能手机和云端的各种资源中被提取出来。带有图片附件的图片和消息包含EXIF数据,EXIF数据反过来又存储了图片被拍摄的位置。
具有位置访问权限的已安装应用程序(例如,健康应用程序和运动跟踪器)可能包含位置(进而可以与相应的云服务同步)。
健康应用(例如谷歌 Fit或Strava)中可能有很多位置点,甚至日历事件也可能包含位置数据!所有这些来源(以及更多其他来源)就是我们所讲的“聚合位置数据”。从2018年推出的Elcomsoft Phone Viewer 3.70开始,我们就支持对聚合位置的提取。
说到位置,EPV 3.70可以从多种来源提取位置数据。对于iOS设备来说,支持的位置数据来源包括:
1. 重要位置;
2. 高速缓存(3G/LTE/Wi-Fi连接);
3. 苹果地图;
4. 谷歌地图;
5. 媒体文件中的EXIF,包括用于捕获图片设备的ID;
6. 日历事件,包括事件的链接;
7. UBER应用。
这些资源中有许多是物理设备的文件系统获取所独有的,然而,一些数据也可以通过云服务获取。让我们来看看我们能从苹果(iCloud)、谷歌和微软(Microsoft)这三家云服务提供商那里获取什么。
苹果(iCloud)
与谷歌不同,苹果不维护用户位置的历史记录。这意味着,从iCloud获得价值多年的位置记录的希望是没有根据的。但是,仍然有几个源可以提供一些位置数据。其中就包括:
健康应用中的训练数据
在苹果生态系统中,这是唯一一种包含多个精确时间戳位置点的云数据类型。数据来自用户的苹果手表,一旦Apple Watch检测到运动开始,它就会开始记录心率和位置等运动数据。位置点来自所有最新款Apple Watch内置的GPS传感器。
健身数据属于健康类数据,而健康类又使用端到端加密。为了使用Elcomsoft Phone Breaker访问端到端的加密数据,你需要将用户的Apple ID和密码、一次性双因素身份验证码以及用户的屏幕锁定密码或系统密码发送到注册在该Apple ID帐户上的设备上。
你可以使用Elcomsoft Phone Viewer分析数据。
Find My的数据
Find My是Find My iPhone(查找我的iPhone)和Find My Friends(查找朋友)的结合体,新系统中苹果为了追求简洁,于是把这两个应用整合到一块了。POPPUR了解到,Find My作用于iOS13、iPadOS(苹果为iPad定制的新系统)以及macOS 10.15,其核心功能依然是寻找遗失的设备。虽说有种旧酒庄新瓶的感觉,但实际上Find My的功能变得更强大了。以前的Find My iPhone,不管是iPhone、iPad、iPod还是Mac,设备必须要处于开机状态,才能发送位置信息,否则将无法定位设备,这对设备的找回有一定的影响。
Find My可以可靠地确定用户的苹果设备的位置。即使为用户的Apple帐户启用了双因素身份验证,使用Find My服务也不需要访问第二个身份验证因素。
iCloud备份
一些位置数据可以从iPhone设备的iCloud备份中提取出来。通常从iCloud备份中可用的照片中获得最大数量的位置点,但是,如果用户启用了iCloud照片,那么这些照片将被同步到iCloud,并被排除在iCloud备份之外。
iCloud照片库
如果用户启用了iCloud照片库,在用户的任何设备上拍摄的照片都将与云同步。通过使用Elcomsoft Phone Breaker下载图片并从EXIF元数据中提取GPS标签或者简单地使用Elcomsoft Phone Viewer的>聚合位置,这有助于建立一个用户位置记录的详细时间表。
iCloud的消息
常规iMessage本身不带有地理标签,图片附件可能包含带有位置标签的EXIF。此外,还有一种特殊的iMessage,称为“位置”。当然,这些消息包含精确的位置地理标签。
苹果地图
令人惊讶的是,Apple Maps应用程序包含数量有限的位置数据。 Apple尽其所能,通过端到端加密(iOS 13)保护Apple Maps数据。此保护级别类似于其他受保护类别,例如iCloud钥匙串,iCloud消息,运行状况和屏幕时间。尽管我们仍然可以从云中获取数据,但该过程依赖于提取其他端到端加密数据的过程,这意味着你必须使用用户设备的密码。
你可以使用Elcomsoft Phone Viewer查看位置数据。
谷歌
谷歌将多年的位置数据存储在用户的谷歌帐户中,你可以从以下来源获取位置数据:
谷歌的位置记录,路线和位置(稍后会详细介绍),这是地理位置数据的主要来源。
什么是“路线和地点”,它们与“位置记录”有何关系?
位置记录只是谷歌从各种来源(例如GPS传感器,移动网络,Wi-Fi BSSID等)收集的原始地理位置数据。实际上,谷歌位置记录包含带有时间戳的地理位置坐标,不提供有关该地点的街道地址或商家名称的信息。要找出用户实际访问过的地方,你必须手动将这些坐标固定到地图上并分析数据。
谷歌对路线和位置进行了分析,谷歌使用基于众包数据的人工智能将地理位置数据与地图上的兴趣点(POI)匹配起来。因此,谷歌可以对用户访问过哪个兴趣点,花费了多少时间以及从事哪种活动进行了有根据的猜测。
因此,路线和地点使专家可以按照Google看到的方式分析用户的日常活动,并提供交通工具,中途停留地和所访问的POI的信息。地点,路线和地点大大提高了位置数据的可读性,这为专家提供了一份简明的位置列表,而不是数字地理位置坐标。
使用Elcomsoft Cloud Explorer可以轻松提取,查看和分析Google位置记录,Google Fit数据,路线和地点。
谷歌健身数据
与Apple Health不同的是,Google Fit是根据对内置步数计数器和位置跟踪的定期轮询来评估身体活动数据的。然后,位置点将存储在用户的Google帐户中Google健身类别下(独立于主位置历史记录)。
谷歌相册
目前,如果你使用的是Google Photos API,则Google不提供访问地理位置标记的功能。因此,对用户的Google相册进行取证分析可能不会返回位置数据。但是,通过合法请求检索Google相册会生成带有完整EXIF元数据(包括地理位置标签)的图片。
微软
Microsoft将位置数据与用户的Microsoft帐户进行同步,这些数据可以在隐私面板中查看(在隐私面板中查看你的数据),也可以通过Elcomsoft Phone Breaker获取(从微软账户获取通话记录、浏览历史和位置数据)。可以使用“下载数据”链接下载数据,该链接以JSON格式返回位置点。 Microsoft收集了各种数据,包括Cortana,Microsoft Edge(台式机和移动应用程序),Bing搜索(如果已登录用户的Microsoft帐户)。
OneDrive
另一个很少被提及的位置数据来源是OneDrive,office365订阅用户通过订阅可以获得1TB的云存储。苹果用户只能免费获得5GB的iCloud存储空间,这限制了他们可以存储在云里的照片和视频的数量,而无需支付订阅费。因此,聪明的iPhone用户使用相应的iOS应用程序将他们的照片存储在OneDrive中。
Google在Google相册中免费提供无限制的照片存储空间,但是,免费套餐极大地降低了图片的大小和质量,使该服务比那些关心其照片质量的人们所期望的要差。此外,谷歌照片显然从EXIF标签中删除了位置数据。出于这个原因,许多Android用户也将他们的照片保存到OneDrive,而不是Google Photos中。
通过分析存储在用户OneDrive中的图片的EXIF数据,专家们可以检索许多附加时间戳的位置点。
不要过于相信位置数据
位置数据可能是假的,因为在分析数字数据时,盲目相信工具是一个人可能犯的最大错误。说到位置数据,最常见的错误之一就是依赖从设备或用户的云账户中发现的所有图片中提取的EXIF数据。许多此类图片可能来自属于不同用户的不同设备,以附件的形式接收或从互联网上保存。位置缓存是位置数据的另一个来源,它列出了最近的基站的大致坐标,该基站可能离用户的设备相当远。Wi-Fi接入点的地理位置是基于接入点的BSSID标识符从第三方服务中获得的,这些数据一般就不准确。最后,重要的位置才是可到的,但是是使用闭源算法得出的。重要位置是用户实际位置的更可靠指标之一,尽管没有时间戳记。例如,下面是显示我的位置历史记录的Microsoft帐户的屏幕截图。
这两个位置都是假的,第一个位置点应该表示我的台式计算机的位置,它离我大约5公里远。第二个位置点甚至更有趣,因为它代表了一个我已经有将近半年没有使用过的设备,尽管我当时已经禁用了“查找我的手机”并擦除了手机,但它仍然奇迹般地向我的账户报告了它的位置。
本文翻译自:https://blog.elcomsoft.com/2020/04/cloudy-times-extracting-and-analyzing-location-evidence-from-cloud-services/如若转载,请注明原文地址: