Hướng dẫn pháp y để thu thập dữ liệu tin nhắn trên iOS
Các ứng dụng tin nhắn như iMessage, Skype, Telegram, WhatsApp, Signal, Zalo giúp cho việc giao tiếp, liên lạc, kết nối con người trở nên dễ dàng hơn bao giờ hết. Nó đã và đang là một phần không thể thiếu trong cuộc sống hiện đại, lưu trữ rất nhiều thông tin quan trọng từ thông tin cá nhân đến công việc. Chính vì vậy, việc thu thập dữ liệu tin nhắn và lịch sử các cuộc trò chuyện có thể có vai trò cực kỳ quan trọng đối với công tác điều tra tội phạm. Trong bài viết này, hãy cùng tìm hiểu cách thức phân tích, trích xuất dữ liệu tin nhắn trên iOS từ 6 ứng dụng tin nhắn phổ biến nhất.
Trích xuất và phân tích dữ liệu điện tử trên iOS
Nói về iOS, có một số phương pháp thu thập thông tin liên lạc thông qua ứng dụng nhắn tin tức thì. Cuộc tấn công MITM (man-in-the-middle) thực tế nằm ngoài câu hỏi đối với hầu hết các ứng dụng nhắn tin tức thời hiện đại hiện nay; nếu có ngoại lệ, chúng tôi không nói về những điều đó (tham khảo từ khóa “Pegasus NSO”). Ngay cả trên các thiết bị Android, một cuộc tấn công MITM sẽ yêu cầu cài đặt chứng chỉ SSL của bên thứ ba và thậm chí nó có thể không hoạt động đối với một số trình nhắn tin tức thì.
Khả năng có được lịch sử giao tiếp từ nhà cung cấp dịch vụ là một công cụ tuyệt vời trong tay cơ quan thực thi pháp luật. Tuy nhiên, các chính sách của các nhà cung cấp khác nhau rất khác nhau, từ công bố đầy đủ gần như tức thì đến không công bố thông thường với các điểm dừng ở giữa. Chúng ta sẽ thảo luận chi tiết về điều này cho từng ứng dụng nhắn tin.
Dữ liệu có thể được khai thác từ một số nguồn lưu trữ, bao gồm dữ liệu được đồng bộ hóa iCloud (bao gồm dữ liệu được mã hóa đầu cuối), sao lưu iCloud và sao lưu độc lập trong iCloud Drive. Nhà cung cấp quyết định sẽ vị trí và cách thức lưu trữ dữ liệu. Cuối cùng, các điều tra viên có thể trích xuất dữ liệu từ chính thiết bị iPhone. Đối với một số ứng dụng nhắn tin, trích xuất hợp lý thông qua các bản sao lưu kiểu iTunes backup là đủ, trong khi một số ứng dụng nhắn tin khác không lưu trữ bất kỳ thứ gì trong các bản sao lưu cục bộ. Hình ảnh hệ thống tệp (và trong một số trường hợp, giải mã chuỗi khóa) luôn đủ để có được quyền truy cập đầy đủ vào lịch sử hội thoại. Dưới đây là cách thức thu thập dữ liệu tin nhắn tức thì từ 6 ứng dụng phổ biến nhất hàng đầu dành cho iOS.
iMessage
Là một ứng dụng được cài đặt sẵn, iMessage được hưởng lợi từ cơ sở người dùng khổng lồ của toàn bộ hệ sinh thái Apple. Dựa trên những thông tin được Apple chia sẻ, iMessage ước tính có khoảng 1,6 tỷ người dùng đang hoạt động trên toàn thế giới, con số này chủ yếu dựa vào số lượng người dùng iPhone. Trở lại năm 2016, dịch vụ này đã xử lý khoảng 200.000 iMessages mỗi giây.
- Yêu cầu pháp lý: Mặc dù Apple vẫn duy trì lịch sử các cuộc trò chuyện iMessage trên máy chủ của mình nhưng dữ liệu được bảo vệ bằng cái mà Apple gọi là “mã hóa đầu cuối”. Theo chính sách của mình, Apple không cung cấp iMessages dù có yêu cầu phục vụ các cơ quan của chính phủ.
- Dữ liệu Cloud: Apple giữ một bản sao của các cuộc trò chuyện iMessage trong iCloud. Dữ liệu được mã hóa bằng khóa được bảo vệ bằng mật khẩu khóa màn hình hoặc mật khẩu hệ thống của người dùng. Mặc dù có thể lấy được iMessages từ iCloud, nhưng người ta sẽ cần bộ thông tin xác thực hoàn chỉnh bao gồm ID Apple và mật khẩu của người dùng; yếu tố xác thực thứ hai; và mật mã khóa màn hình hoặc mật khẩu hệ thống của một trong các thiết bị của người dùng.
- Local Backups: iMessages luôn có sẵn trong các bản sao lưu cục bộ. Thu thập logic cho phép trích xuất các thông điệp.
- iCloud Backups: Apple chỉ lưu trữ iMessages trong bản sao lưu iCloud nếu đồng bộ hóa (Tin nhắn iCloud) không được bật.
- iCloud Drive: n/a.
- File System (Hệ thống tệp): iMessage không có bất kỳ tính năng bảo vệ bổ sung nào đối với cơ sở dữ liệu đang hoạt động. Sau khi hình ảnh hệ thống tệp được chụp từ iPhone, việc trích xuất và phân tích các cuộc trò chuyện iMessage rất đơn giản.
Đánh giá việc thu thập dữ liệu iMessage: Việc thu thập thông tin liên lạc iMessage của người dùng là có thể nhưng khó khăn vì có nhiều biến số khác nhau. Các cuộc hội thoại iMessage có thể được trích xuất từ nhiều nguồn, tuy nhiên, danh sách chính xác của chúng phụ thuộc vào cấu hình của người dùng.
Với hơn 2 tỷ người dùng trên toàn thế giới, WhatsApp là một trong những ứng dụng nhắn tin tức thời phổ biến nhất trên toàn thế giới. Mặc dù giao tiếp WhatsApp dựa trên giao thức Signal sử dụng mã hóa end-to-end nhưng thực tế điều này không làm cho WhatsApp an toàn hơn các ứng dụng nhắn tin khác vì ứng dụng này giữ bản sao lưu lịch sử hội thoại của nó, giúp chúng có thể dễ dàng truy cập bằng một số kỹ thuật chuyển đổi.
- Yêu cầu pháp lý: WhatsApp không lưu trữ lịch sử trò chuyện trên máy chủ của mình. Do đó, chỉ có thể khai thác được các tin nhắn đang chờ xử lý (chưa gửi) khi có yêu cầu pháp lý.
- Dữ liệu Cloud: Facebook không giữ các cuộc trò chuyện WhatsApp trên máy chủ của mình và việc mua lại hệ thống lưu trữ đám mây nói chung không thể thực hiện được với một ngoại lệ. Các tin nhắn chưa gửi (đang chờ xử lý) vẫn được lưu trữ trên máy chủ và có thể được tải xuống với phần mềm pháp y bằng cách xác thực dưới dạng ứng dụng WhatsApp mới.
- Local Backups: Lịch sử giao tiếp của WhatsApp hiển thị trong cả local backups iOS và cloud (vẫn có ngoại lệ).
- iCloud Backups: Tương tự như trên. Thông thường, lịch sử cuộc trò chuyện WhatsApp có thể được trích xuất từ các bản sao lưu iCloud.
- iCloud Drive: WhatsApp có tùy chọn để lưu các bản sao lưu độc lập, độc quyền trong iCloud Drive. Mặc dù có thể dễ dàng tải xuống các bản sao lưu này, nhưng chúng được bảo vệ bằng mã hóa đầu cuối. Do đó, người ta phải xác thực là ứng dụng khách WhatsApp để giải mã bản sao lưu. Điều này yêu cầu quyền truy cập vào số WhatsApp đã đăng ký của người dùng.
- File System (Hệ thống tệp): WhatsApp không có bất kỳ tính năng bảo vệ bổ sung nào đối với cơ sở dữ liệu đang hoạt động. Sau khi hình ảnh hệ thống tệp được chụp từ iPhone, việc trích xuất và phân tích các cuộc trò chuyện trên WhatsApp rất đơn giản.
Đánh giá việc thu thập dữ liệuWhatsApp: Việc thu thập dữ liệu WhatsApp của người dùng dễ dàng hơn mức trung bình. Các cuộc trò chuyện WhatsApp có thể được trích xuất từ gần như mọi nguồn có sẵn bao gồm các bản sao lưu cục bộ và đám mây.
Telegram
Telegram cung cấp một trong những trải nghiệm nhắn tin đa nền tảng tiên tiến nhất trong thế giới của các ứng dụng nhắn tin nhanh. Cung cấp các ứng dụng trên hầu hết mọi nền tảng, Telegram có thể được sử dụng trên nhiều thiết bị di động và máy tính bàn. Không giống như WhatsApp một ứng dụng khách hoàn toàn, người dùng Telegram có thể đăng nhập trên nhiều thiết bị cùng lúc. Năm 2018, Telegram đạt 200 triệu người dùng hoạt động hàng tháng với gần 300 triệu tin nhắn được gửi hàng ngày.
Telegram sử dụng dịch vụ Cloud để gửi, lưu trữ và đồng bộ hóa các tin nhắn. Dịch vụ cung cấp cho người dùng có ý thức về quyền riêng tư tùy chọn trò chuyện riêng tư với tùy chọn được gọi là ‘trò chuyện bí mật’. Các cuộc trò chuyện bí mật, không giống như các cuộc trò chuyện thông thường, không bao giờ được lưu trữ trên máy chủ Telegram.
- Yêu cầu pháp lý: Telegram lưu giữ lịch sử toàn diện về các cuộc trò chuyện thường xuyên (không bí mật) của người dùng trên các máy chủ của nó. Trích xuất các cuộc trò chuyện thông thường và nhóm có thể được thực hiện khi có yêu cầu pháp lý tùy thuộc vào khu vực tài phán. Các cuộc trò chuyện bí mật không bao giờ được lưu trữ cho nên không thể lấy được dù có yêu cầu hợp pháp. Đáng chú ý, Telegram đã bỏ qua các yêu cầu pháp lý ở một số khu vực, điều này đã khiến dịch vụ bị cấm ở một số quốc gia.
- Dữ liệu Cloud: Như đã đề cập ở trên, Telegram giữ lịch sử trên các máy chủ của riêng mình. Bằng cách xác thực với tư cách là người dùng, người ta có thể lấy các thông tin liên lạc đó (ngoại trừ các cuộc trò chuyện bí mật) từ các máy chủ Telegram.
- Local Backups: Telegram không lưu trữ các cuộc hội thoại trong bản sao lưu cục bộ. Thay vào đó, lịch sử cuộc trò chuyện được đồng bộ hóa bằng dịch vụ đám mây của Telegram.
- iCloud Backups: Tương tự như trên. Telegram không lưu trữ lịch sử hội thoại trong các bản sao lưu iCloud.
- iCloud Drive: Không có bản sao lưu độc lập nào trong iCloud Drive.
- File System (Hệ thống tệp): Telegram không có bất kỳ tính năng bảo vệ bổ sung nào đối với cơ sở dữ liệu đang hoạt động. Sau khi hình ảnh hệ thống tệp được chụp từ iPhone, việc trích xuất và phân tích các cuộc trò chuyện Telegram bao gồm các cuộc trò chuyện bí mật và tệp đính kèm là điều không cần thiết.
Đánh giá việc thu thập dữ liệu Telegram: Chúng tôi xếp mức độ phức tạp của việc thu thập dữ liệu từ Telegram ở mức trung bình. Các cuộc trò chuyện Telegram (bao gồm cả các cuộc trò chuyện bí mật) có thể được trích xuất từ hình ảnh hệ thống tệp iOS. Các cuộc trò chuyện thông thường có thể được thực hiện khi có yêu cầu pháp lý từ Telegram.
Signal
Dựa theo những số liệu được công bố công khai, Signal dường như không phổ biến rộng rãi. Tuy nhiên, ứng dụng nhắn tin này đã được phát triển và tiếp thị như một công cụ cung cấp quyền riêng tư và bảo mật tối ưu cho thông tin liên lạc. Chỉ đạt được nửa triệu người dùng, Signal đã trở thành lựa chọn giao tiếp lý tưởng của những người có điều gì đó muốn che giấu.
Signal triển khai một giao thức truyền thông bảo mật cao sử dụng mã hóa end-to-end. Không giống như WhatsApp, dựa trên cùng một giao thức, việc triển khai của Signal an toàn hơn rất nhiều. Signal mã hóa các tin nhắn đang chuyển tiếp và không lưu trữ lịch sử hội thoại trên máy chủ của nó. Hơn nữa, Signal mã hóa cơ sở dữ liệu hoạt động của nó, khiến việc thu thập khó khăn ngay cả khi một người có quyền truy cập vào thiết bị vật lý.
- Yêu cầu pháp lý: Signal không lưu giữ lịch sử giao tiếp trên máy chủ của mình. Vì vậy các nhà điều tra sẽ không nhận được gì dù có yêu cầu pháp lý.
- Dữ liệu Cloud: Signal không lưu giữ các cuộc trò chuyện trên máy chủ của nó. Không thể mua lại hệ thống lưu trữ đám mây.
- Local Backups: Signal không lưu trữ các cuộc trò chuyện trong bản sao lưu cục bộ (iTunes).
- iCloud Backups: Tương tự như trên. Signal không lưu trữ lịch sử hội thoại trong các bản sao lưu iCloud.
- iCloud Drive: Không có bản sao lưu độc lập trong iCloud Drive.
- File System (Hệ thống tập tin): Cơ sở dữ liệu Signal được mã hóa. Khóa mã hóa được lưu trữ trong chuỗi khóa với lớp bảo vệ cao nhất. Cần phải trích xuất và giải mã chuỗi khóa để giải mã cơ sở dữ liệu Signal.
Đánh giá việc thu thập dữ liệu Signal: Signal là một trong các công cụ khó trích xuất và phân tích. Cách duy nhất để trích xuất cuộc hội thoại Signal là yêu cầu trích xuất hình ảnh hệ thống tệp và giải mã chuỗi khóa. Các trích xuất logic, đám mây và biện pháp pháp lý là vô ích.
Skype
Skype là một trong những ứng dụng tin nhắn thời lâu đời nhất. Dịch vụ này do Microsoft sở hữu, có các ứng dụng cho hầu hết các nền tảng phổ biến. Vào tháng 3 năm 2020, Skype được 100 triệu người sử dụng hàng tháng. Khoảng 40 triệu người sử dụng nó hàng ngày. Microsoft giữ lại lịch sử hội thoại Skype trên các máy chủ của mình. Không cung cấp các tùy chọn liên lạc ‘riêng tư’ hoặc ‘bí mật’ và sẵn sàng hợp tác với các chính quyền địa phương, Microsoft cung cấp dịch vụ thân thiện với cơ quan thực thi pháp luật nhất trong số các ứng dụng tin nhắn hiện nay.
- Yêu cầu pháp lý: Microsoft lưu giữ lịch sử toàn diện về các cuộc trò chuyện Skype của người dùng trên máy chủ của mình. Microsoft sẵn sàng hợp tác với cơ quan thực thi pháp luật, cho phép trích xuất thông tin liên lạc qua Skype thông qua các yêu cầu pháp lý.
- Dữ liệu Cloud: Microsoft lưu giữ các cuộc hội thoại Skype trên máy chủ của mình. Các chuyên gia có thể tải xuống lịch sử Skype bằng cách đăng nhập vào Tài khoản Microsoft của người dùng.
- Local Backups: Skype không còn giữ các cuộc hội thoại trong bản sao lưu cục bộ. Thay vào đó, lịch sử hội thoại được đồng bộ hóa thông qua Tài khoản Microsoft của người dùng.
- iCloud Backups: Tương tự như trên. Microsoft không lưu trữ lịch sử hội thoại trong các bản sao lưu iCloud.
- iCloud Drive: Không có bản sao lưu Skype độc lập nào trong iCloud Drive.
- File System (Hệ thống tệp): Skype không có bất kỳ tính năng bảo vệ bổ sung nào đối với cơ sở dữ liệu đang hoạt động. Sau khi ảnh hệ thống tệp được chụp từ iPhone, việc trích xuất và phân tích các cuộc trò chuyện trên Skype là đơn giản.
Đánh giá việc thu thập dữ liệu Skype: Chúng tôi coi mức độ phức tạp của việc thu thập dữ liệu tin nhắn Skype ở mức trung bình. Skype không có các cuộc trò chuyện ‘bí mật’, cũng như không sử dụng mã hóa đầu cuối cho cơ sở dữ liệu của mình. Các cuộc hội thoại Skype có thể được trích xuất từ hình ảnh hệ thống tệp iOS. Microsoft sẵn sàng hợp tác với cơ quan thực thi pháp luật, cho phép nhận thông tin liên lạc qua Skype thông qua các yêu cầu pháp lý. Ngoài ra, liên lạc Skype có thể được trích xuất từ Cloud bằng cách xác thực với tư cách là người dùng.
Zalo
Với khoảng 64 triệu người dùng thường xuyên và 1,7 tỷ tin nhắn được gửi đi mỗi ngày, Zalo của VNG hiện đang là ứng dụng nhắn tin tức thời phổ biến nhất tại Việt Nam. Zalo không sử dụng mã hóa đầu cuối end-to-end , nó lưu giữ bản sao lưu lịch sử hội thoại của nó trên thiết bị, giúp chúng có thể dễ dàng truy cập bằng một số kỹ thuật chuyển đổi.
- Yêu cầu pháp lý: Zalo không lưu trữ lịch sử trò chuyện trên máy chủ của mình một cách tự động mà chỉ lưu trữ thủ công theo yêu cầu của người dùng. Tuy nhiên, chưa có thông tin xác thực rằng Zalo cung cấp dữ liệu người dùng khi có yêu cầu từ cơ quan thực thi pháp luật.
- Dữ liệu Cloud: VNG đang phát triển tính năng Cloud để lưu giữ tệp tin và tin nhắn. Các dữ liệu thuộc phiên bản trước đây nếu có lưu thì sẽ sử dụng Google drive để lưu trữ.
- Local Backups: Lịch sử giao tiếp của Zalo hiển thị trong cả local backups iOS và cloud.
- iCloud Backups: Lịch sử cuộc trò chuyện Zalo có thể được trích xuất từ các bản sao lưu iCloud.
- iCloud Drive: Không có bản sao lưu độc lập nào của Zalo trên iCloud Drive.
- File System (Hệ thống tệp): Zalo không có bất kỳ tính năng bảo vệ bổ sung nào đối với cơ sở dữ liệu đang hoạt động. Sau khi hình ảnh hệ thống tệp được chụp từ iPhone, việc trích xuất và phân tích các cuộc trò chuyện trên Zalo rất đơn giản.
Đánh giá việc thu thập dữ liệu Zalo: Việc thu thập dữ liệu Zalop của người dùng dễ dàng. Các cuộc trò chuyện Zalo có thể được trích xuất từ gần như mọi nguồn có sẵn bao gồm các bản sao lưu cục bộ và đám mây.
KẾT LUẬN
Trên đây là phân tích về cách trích xuất dữ liệu tin nhắn từ 6 ứng dụng phổ biến nhất. Còn rất nhiều công cụ nhắn tin nhanh xung quanh mà chúng ta khó có thể liệt kê hết trong một bài viết. Line, Viber, QQ, WeChat, Facebook Messenger và nhiều ứng dụng nhắn tin khác có sẵn cho nhiều nền tảng khác nhau. Chúng tôi sẽ tiếp tục nghiên cứu, bổ sung và chia sẻ về việc thu thập dữ liệu tin nhắn trong các ứng dụng khác ở các bài viết tiếp theo.