薛秋爽 湯艷君 錢麗納 中國刑事警察學(xué)院
2018年的小黑盒事件、2019年京津冀三地消協(xié)對28個品牌38款智能門鎖的測試結(jié)果揭露了智能門鎖存在的安全性問題。據(jù)調(diào)查發(fā)現(xiàn),部分品牌的智能門鎖僅是將指紋識別模塊、遠程互聯(lián)解鎖模塊置入鎖體芯片,其在聯(lián)網(wǎng)控制的情況下存在重大的安全隱患。目前,智能門鎖電子數(shù)據(jù)檢驗研究較少,現(xiàn)有研究多采用Edewede Oriwoh模型進行檢驗,該模型分為三個部分,即底層的終端檢驗、中層的網(wǎng)絡(luò)檢驗和上層的云檢驗。雖然該模型為智能門鎖電子數(shù)據(jù)檢驗提供了參考,但此模型主要從整體角度對物聯(lián)網(wǎng)檢驗進行研究,較泛化地概括了檢驗的過程,尚未形成完整的體系。此外,目前專門針對智能門鎖電子數(shù)據(jù)檢驗的研究較為不充分,仍處于起步階段,具有較大的研究空間。
本文根據(jù)智能門鎖電子數(shù)據(jù)檢驗的現(xiàn)狀,基于工作原理和電子數(shù)據(jù)存儲來源分析,提出了智能門鎖的電子數(shù)據(jù)檢驗?zāi)P停υ撃P椭械臋z驗方法進行重點剖析。實驗部分重點對智能門鎖存儲芯片、智能門鎖網(wǎng)關(guān)、智能門鎖控制端APP及路由器等重要電子數(shù)據(jù)來源進行檢驗。
掌握智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源不僅是用戶安全使用門鎖、提升安全防范意識的基礎(chǔ),還是檢驗人員及時保護、提取涉案智能門鎖電子數(shù)據(jù)的關(guān)鍵。因此,對智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源進行重點分析是研究智能門鎖電子數(shù)據(jù)檢驗的前提。
以目前市面上銷量最多且客戶需求最大的多種功能聯(lián)網(wǎng)型智能門鎖為研究對象,智能門鎖的核心部件基本一致,主要為主電路板、離合器、指紋采集器、數(shù)據(jù)存儲器、微處理器(CPU)和智能應(yīng)急鑰匙,其系統(tǒng)構(gòu)成如圖1所示。
從智能門鎖系統(tǒng)構(gòu)成的邏輯結(jié)構(gòu)層次來說,可將其分為感知層、網(wǎng)絡(luò)層、應(yīng)用層。 感知層由智能門鎖設(shè)備構(gòu)成,包括物理硬件和智能化模塊,其通過物理硬件感知生物特征并實現(xiàn)指紋、語音、人臉等特征識別功能。網(wǎng)絡(luò)層由通信系統(tǒng)構(gòu)成,包括路由器和智能網(wǎng)關(guān),主要實現(xiàn)通信及信息傳輸功能,并使感知層的數(shù)據(jù)信息傳輸?shù)綉?yīng)用層中的云服務(wù)系統(tǒng)中。應(yīng)用層由云服務(wù)器系統(tǒng)組成,包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)器,其主要通過云服務(wù)系統(tǒng)實現(xiàn)與云服務(wù)器及數(shù)據(jù)庫的交互。
智能門鎖的數(shù)據(jù)傳輸流程如下:智能門鎖通過內(nèi)置ZigBee或者Z-Wave硬件模塊,與智能網(wǎng)關(guān)進行數(shù)據(jù)傳輸,然后智能網(wǎng)關(guān)將數(shù)據(jù)通過Wi-Fi與家庭Wi-Fi路由器進行數(shù)據(jù)交互,家庭Wi-Fi路由器再將數(shù)據(jù)上傳到云服務(wù)器中。智能門鎖也可通過Bluetooth、NFC或Wi-Fi等方式與智能終端連接并進行數(shù)據(jù)傳輸,智能終端再通過Wi-Fi與家庭Wi-Fi路由器進行數(shù)據(jù)交互,也可在聯(lián)網(wǎng)狀態(tài)下直接通過3G、4G、5G等通信方式與云服務(wù)器端進行數(shù)據(jù)傳輸。其工作流程如圖2所示。
《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第二十九條第一款中定義,存儲介質(zhì)是指具備數(shù)據(jù)信息存儲功能的電子設(shè)備、硬盤、光盤、優(yōu)盤、記憶棒、存儲卡、存儲芯片等載體。通過分析智能門鎖的系統(tǒng)構(gòu)成和工作流程可知,智能門鎖的電子數(shù)據(jù)傳輸及存儲過程主要存在于以下幾部分:
1. 智能門鎖存儲芯片
智能門鎖的存儲功能主要由其內(nèi)置的存儲芯片實現(xiàn),該芯片中存有相關(guān)生物特征信息、數(shù)據(jù)交互信息等關(guān)鍵數(shù)據(jù)。
2. 智能門鎖網(wǎng)關(guān)
智能門鎖需要配備智能網(wǎng)關(guān)才能實現(xiàn)聯(lián)網(wǎng)控制功能。智能網(wǎng)關(guān)具備轉(zhuǎn)存功能,智能門鎖連入智能網(wǎng)關(guān)后,智能門鎖與智能網(wǎng)關(guān)產(chǎn)生數(shù)據(jù)交互,智能門鎖能夠?qū)崟r將開鎖關(guān)鎖記錄、模式設(shè)定等數(shù)據(jù)信息轉(zhuǎn)存至網(wǎng)關(guān)中,因此智能門鎖網(wǎng)關(guān)中也存有相關(guān)數(shù)據(jù)信息。
3. 智能門鎖控制終端
智能門鎖控制終端是搭載智能門鎖控制APP的設(shè)備,主要包括智能手機、計算機、平板等。不同的智能門鎖控制終端,其操作界面、實現(xiàn)功能雖存在一定的差異,但都存在利用網(wǎng)絡(luò)與智能門鎖進行交互的過程。用戶可使用智能手機、平板等移動控制終端或計算機端對智能門鎖設(shè)備進行控制并實現(xiàn)數(shù)據(jù)交互,該交互過程產(chǎn)生的數(shù)據(jù)會留存在控制終端中,因此在智能手機、計算機、平板等不同類型的控制終端內(nèi)也會留有智能門鎖記錄的相關(guān)數(shù)據(jù)。
4. 智能門鎖控制APP
智能門鎖控制APP可通過發(fā)送相關(guān)指令實現(xiàn)遠程控制智能門鎖,并可查看智能門鎖的基本信息。智能門鎖控制APP還可實現(xiàn)手機APP開鎖、密碼開鎖、指紋開鎖等通知信息的推送功能,防脅迫開鎖通知、門鈴?fù)ㄖ榷绦磐ㄖδ芤约皥鼍敖壎?、用戶管理、遠程臨時用戶開鎖、報警消息等功能。智能門鎖控制APP作為控制終端與智能門鎖交互的軟件媒介,存儲著大量用戶數(shù)據(jù)信息,因此智能門鎖控制APP也是檢驗的關(guān)鍵數(shù)據(jù)來源。
5. 路由器
路由器是控制端實現(xiàn)對智能門鎖遠程控制流程中的一個關(guān)鍵節(jié)點,其主要實現(xiàn)智能門鎖與控制終端的數(shù)據(jù)交互過程。交互的數(shù)據(jù)主要包括網(wǎng)關(guān)配置數(shù)據(jù)、數(shù)據(jù)傳輸日志記錄、網(wǎng)絡(luò)異常記錄等。由于路由器也具有一定的存儲功能,其可能存有與智能門鎖相關(guān)的數(shù)據(jù)信息,故路由器也是檢驗人員收集證據(jù)時不可忽略的一部分。
6. 廠商云服務(wù)器
云服務(wù)器是智能門鎖的數(shù)據(jù)傳輸工作流程中的重要組成部分,主要實現(xiàn)存儲用戶數(shù)據(jù)的功能。智能門鎖廠商總部設(shè)有云服務(wù)器,可將智能門鎖控制端APP與智能門鎖的數(shù)據(jù)傳輸至云端保存。智能門鎖的用戶端一般擁有清空本地存儲數(shù)據(jù)的權(quán)限,因此僅僅從用戶端入手對智能門鎖進行檢驗具有一定的局限性。但由于用戶使用智能門鎖時,數(shù)據(jù)會與云服務(wù)器產(chǎn)生交互,其相關(guān)數(shù)據(jù)可能存于云服務(wù)器中,這部分數(shù)據(jù)用戶并不具備刪除權(quán)限,因此在對智能門鎖進行檢驗時,也需要對廠商的云服務(wù)器進行檢驗分析。
通過對智能門鎖系統(tǒng)構(gòu)成、智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源的分析并結(jié)合智能門鎖電子數(shù)據(jù)檢驗規(guī)范,構(gòu)建智能門鎖的電子數(shù)據(jù)檢驗?zāi)P?,如圖3所示。該模型結(jié)合智能門鎖的特點,在檢驗過程中保證數(shù)據(jù)的客觀性、關(guān)聯(lián)性和合法性,同時也體現(xiàn)針對性和適用性的特點,保證最終證據(jù)能夠被法庭所接受。
智能門鎖的電子數(shù)據(jù)檢驗?zāi)P椭饕齻€階段:準(zhǔn)備階段、檢驗階段以及后處理階段。
準(zhǔn)備階段和后處理階段都是電子數(shù)據(jù)檢驗的常規(guī)階段,根據(jù)公安部發(fā)布的《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》等規(guī)定進行準(zhǔn)備與處理。
檢驗階段是智能門鎖的電子數(shù)據(jù)檢驗?zāi)P偷暮诵牟糠帧z驗階段根據(jù)檢驗條件不同分為現(xiàn)場檢驗和實驗室檢驗。其中,現(xiàn)場檢驗首先是現(xiàn)場檢驗評估,其次是固定現(xiàn)場設(shè)備狀態(tài),最后是提取、固定被檢驗設(shè)備的易失性數(shù)據(jù)。實驗室檢驗針對的是現(xiàn)場不能直接獲取的電子數(shù)據(jù),這些數(shù)據(jù)檢驗解析可能耗時較長,故將其帶回實驗室進行檢驗分析,如門鎖存儲芯片、網(wǎng)關(guān)存儲卡、控制端(手機、計算機)及其應(yīng)用程序APP中的數(shù)據(jù)??紤]到智能門鎖電子數(shù)據(jù)的易失性及其檢驗的復(fù)雜度,將被檢驗對象按照智能門鎖自身、門鎖網(wǎng)關(guān)設(shè)備(含存儲卡)、控制終端設(shè)備(手機、計算機)、路由器、云服務(wù)器、APP的順序進行檢驗分析。
智能門鎖網(wǎng)關(guān)是用戶遠程控制、實時互動的關(guān)鍵,智能門鎖配套的網(wǎng)關(guān)中存儲智能門鎖的相關(guān)數(shù)據(jù),故可對其進行數(shù)據(jù)檢驗分析。
對智能門鎖網(wǎng)關(guān)設(shè)備的檢驗主要采取提取智能門鎖網(wǎng)關(guān)設(shè)備中的存儲卡,將其與電子數(shù)據(jù)檢驗設(shè)備連接并使用相關(guān)工具進行解析。解析后的存儲卡具有一個磁盤分區(qū),該分區(qū)中包含Picture文件夾、System Volume Information 文件夾、Video文件夾,這三個文件夾主要存儲圖片、系統(tǒng)信息、視頻等數(shù)據(jù)。以Picture文件夾為例,該文件夾中包含以時間命名的子文件夾,對子文件夾(如“2022-03-07”)進行分析,可以查看到圖片的具體屬性信息如圖片名稱、恢復(fù)狀態(tài)、創(chuàng)建時間、修改時間、訪問時間等。檢驗人員需對子文件夾中包含的圖片進行人工篩選,若圖片中有面部特征或手部特征,可將相關(guān)文件作為證據(jù)文件導(dǎo)出。在提取證據(jù)文件后,需對相關(guān)證據(jù)進行完整性校驗,按照規(guī)范要求制作電子數(shù)據(jù)檢查報告。
周恩來和郭沫若此時正在武漢組織紀(jì)念抗戰(zhàn)一周年群眾歌詠大會,得知桂濤聲和冼星海創(chuàng)作了這首《在太行山上》,便前往冼星海住所先睹為快。
智能門鎖的一大特點是用戶需將智能門鎖與其控制終端綁定,并可通過綁定控制終端中的智能門鎖APP實現(xiàn)特定的功能,如控制智能網(wǎng)關(guān)及其相關(guān)設(shè)備的啟用、查看智能門鎖系統(tǒng)設(shè)置、對智能門鎖的數(shù)據(jù)進行同步等。目前智能手機、平板、計算機等終端均可作為智能門鎖APP的控制端,由于控制終端的操作系統(tǒng)不同,需根據(jù)控制終端的操作系統(tǒng)選擇相應(yīng)的檢驗方法。
1. 智能手機端電子數(shù)據(jù)檢驗
智能手機控制端是用戶控制智能門鎖、查看或設(shè)置智能門鎖狀態(tài)的重要設(shè)備。用戶可以通過智能手機控制端設(shè)置智能化“回家”“離家”模式,也可以隨時查看門鎖狀態(tài)以及遠程修改用戶、開關(guān)門鎖。智能手機控制端能夠在非正常開啟情況下為用戶提供實時報警服務(wù),可自動錄像并抓拍照片,并向用戶控制端發(fā)送實時照片。智能手機控制端存在大量智能門鎖相關(guān)數(shù)據(jù)信息,因此對智能手機進行檢驗十分必要。
(1)對智能手機現(xiàn)場檢驗
智能手機現(xiàn)場檢驗的主要檢驗對象是案發(fā)現(xiàn)場受害人的智能手機。辦案人員可通過人工篩選的方式,查看智能手機中與智能門鎖相關(guān)的數(shù)據(jù),如智能門鎖的狀態(tài)、開鎖記錄、警報日志及用戶管理等。同時對智能門鎖狀態(tài)、門鎖警報日志、臨時用戶創(chuàng)建及其行為等數(shù)據(jù)進行提取固定,利用關(guān)聯(lián)分析法對數(shù)據(jù)的時間以及狀態(tài)進行分析,若存在多個新創(chuàng)建的臨時用戶,則有作案同伙的可能性大大增加。
(2)對智能手機實驗室檢驗
首先將智能手機與電子數(shù)據(jù)檢驗設(shè)備相連,并使用電子數(shù)據(jù)檢驗工具對控制智能門鎖的智能手機以及手機上的“智能家居”APP進行檢驗。對智能手機重點提取的數(shù)據(jù)如下:
①手機基本信息。通過手機MAC地址確認嫌疑人手機是否遠程登錄過被害人網(wǎng)絡(luò)。在檢驗結(jié)果中首先查看被檢驗手機的基本信息,包括手機品牌、型號、操作系統(tǒng)以及與案件相關(guān)聯(lián)的手機的無線局域網(wǎng)地址(Wi-Fi MAC地址、藍牙MAC地址),并以此為依據(jù)對手機進行關(guān)聯(lián)性認定??赏ㄟ^手機品牌、型號、操作系統(tǒng)、IMEI、Wi-Fi MAC地址以及藍牙MAC地址進行溯源,尋找關(guān)聯(lián)交叉的地點和人物,從而對手機進行關(guān)聯(lián)性認定。
2. 計算機端電子數(shù)據(jù)檢驗
對控制終端計算機的檢驗主要是針對存儲和記錄的開鎖日志、警報日志、攝像機網(wǎng)關(guān)抓拍的圖片、視頻流等文件及相應(yīng)的時間屬性進行檢驗。
(1)對計算機現(xiàn)場檢驗
在案發(fā)現(xiàn)場,檢驗調(diào)查人員首先進行現(xiàn)場評估,查看涉案計算機的狀態(tài),并對其狀態(tài)進行拍照固定。查看受害人的計算機是否被網(wǎng)絡(luò)攻擊,遭到破壞。如果計算機被破壞,則對其進行封裝、編號,帶回實驗室進行檢驗。
對計算機進行現(xiàn)場檢驗時,應(yīng)全程錄像,重點查看Windows日志,從日志中查看應(yīng)用程序“智能家居”APP的使用記錄,如具體的開鎖日期和時間、任務(wù)類別、級別、操作代碼等,并將相關(guān)數(shù)據(jù)進行提取固定。
(2)對計算機實驗室檢驗
對計算機實驗室檢驗的主要步驟如下:先使用備份工具對其進行鏡像備份,其次使用相關(guān)檢驗工具對備份的鏡像文件進行檢驗,在檢驗結(jié)果中查看Windows日志及涉案的圖片、短信息、即時通訊(微信、QQ)等信息內(nèi)容。在檢驗過程中,要注意對已刪除文件的恢復(fù)。
路由器作為網(wǎng)絡(luò)層的一種互聯(lián)設(shè)備,是智能門鎖通過無線網(wǎng)絡(luò)進行連接以實現(xiàn)遠程控制的必要設(shè)備。
以TP-LINK品牌家庭路由器為例進行檢驗研究。對路由器設(shè)備的檢驗步驟如下:
首先,在與路由器同一局域網(wǎng)下的PC端瀏覽器中輸入默認網(wǎng)關(guān)192.168.0.1。進入路由器的Web界面,查看當(dāng)前路由器的連接設(shè)備及可訪問網(wǎng)絡(luò)。點擊應(yīng)用管理,進入IP與MAC綁定進行查看,可以看到匿名主機192.168. 0.100連接了家庭網(wǎng)絡(luò),但未綁定。點擊路由設(shè)置,可以查看路由器的型號、管理員賬戶、上網(wǎng)設(shè)置、無線網(wǎng)絡(luò)設(shè)置、LAN口設(shè)置、備份和載入配置以及系統(tǒng)日志等信息,其中上網(wǎng)設(shè)置記錄了該路由器的IP地址及網(wǎng)關(guān)。對路由器存儲的數(shù)據(jù)進行備份、解析,尋找案件線索,備份文件為config.bin。系統(tǒng)日志記錄了連接路由器的主機及網(wǎng)絡(luò)狀態(tài)信息,也可為案件提供線索,保存系統(tǒng)日志文件為syslog.txt。打開路由器系統(tǒng)日志,可以查看到默認網(wǎng)關(guān)、匿名主機192.168.0.100的訪問信息。
該方法適用于能夠正常打開路由器Web界面,且路由器的系統(tǒng)日志未被清除,提取入侵痕跡,并對提取電子數(shù)據(jù)進行完整性校驗。
智能門鎖APP在正常情況下(智能網(wǎng)關(guān)未斷電斷網(wǎng))實時記錄著門鎖的狀態(tài)、開鎖方式,還可發(fā)出開鎖、創(chuàng)建臨時用戶等指令,這一系列的數(shù)據(jù)都以.database文件形式存儲在APP數(shù)據(jù)庫中。控制終端APP的檢驗步驟如下:
對控制終端APP進行數(shù)據(jù)備份后解析,根據(jù)智能手機系統(tǒng)版本對手機助手更新到相應(yīng)的版本,通過USB接口將智能手機連接到電腦上,開始對智能手機端APP“智能家居”進行數(shù)據(jù)備份。
對備份的電子數(shù)據(jù)進行分析,每個文件都有對應(yīng)的詳細信息,如文件大小、文件創(chuàng)建及修改時間、原始路徑等。經(jīng)分析,在原始路徑cc.wulian.smarthomev6files .umengexchangeIdentity.json下找到“APPkey”,即智能門鎖的密鑰信息。通常日志文件包含重要信息,在原始路徑cc.wulian.smarthomev6APP_webviewLocalStorage levedb LOG.old下找到智能門鎖APP發(fā)送密鑰的日志,日志中記錄著打開門鎖的時間以及門鎖狀態(tài),且有刪除記錄。
若提取不到與案件相關(guān)的直接信息,就需要通過底層數(shù)據(jù)分析找到與案件相關(guān)聯(lián)的信息。導(dǎo)出數(shù)據(jù)庫wl-testdb,并對其進行解析,解析結(jié)果如圖4所示。在表GATEWAY_DATA_ENTITY中找到智能門鎖的控制網(wǎng)關(guān)信息,其登錄用戶名及密碼采用了加密算法,顯示為“suid:us653400gcca2ac479ae”“spassword:ac08d36721 b90886”。在配置文件“cc.wulian. Smarthomev6”中找到定義登錄ID轉(zhuǎn)換方法,將加密的數(shù)據(jù)進行解密。對上述證據(jù)文件進行提取完成后,生成證據(jù)報告,可以選擇html或者word等形式,并對其進行完整性校驗。
在5G、物聯(lián)網(wǎng)技術(shù)快速發(fā)展的背景下,智能門鎖應(yīng)用也愈發(fā)廣泛,其安全性問題應(yīng)引起重視。本文在對智能門鎖的工作原理、數(shù)據(jù)存儲來源分析的基礎(chǔ)上,提出了智能門鎖電子數(shù)據(jù)檢驗?zāi)P图胺椒?,為公安機關(guān)辦理涉智能門鎖案件提取固定電子數(shù)據(jù)提供借鑒。