お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

カテゴリー「デジタルフォレンジック」の記事

2015年4月15日 (水)

AppleTime、UnixTimeからJSTへの変換

自分用メモ

iOS等で使われるAppleTimeからJSTへのExcelの変換式

 ="2001/1/1"+(AppleTime/60/60/24+9/24)
Android等で使われるUnixTimeからJSTへのExcelの変換式

 =(UnixTime + 32400)/86400 + 25569

2014年7月25日 (金)

Androidでのバックアップ

Android機を頻繁に買い替えたり、複数の端末を持っていていろいろ使っていると、必要最低限のデータはどの端末ででも利用できた方が便利なのは言うまでもない。

また、カスタムROMをいろいろ入れたり、カスタマイズを繰り返したりする場合は万が一に備えてデータのバックアップを取っておきたい。

Android機のバックアップを取る方法はいくつかある。

その一つはTitanium Backupというアプリを使うというもの。root化必須なアプリだがシステムも含めてアプリやデータ、設定等全てバックアップ可能。復元する際も特定のアプリだけとかアプリは復元せずにそのデータだけといった復元も可能で、機種変更の際にこれまで使っていた環境をそのまま新しい端末に移行する作業なども比較的楽に済ますことができ重宝している。root化する目的の一つがTitaniumBackupを使うためという人も多い。(自分もそうである。)

次は、CWMやTWRPといったリカバリーツールである。元々の純正のリカバリーツールと入れ替えて使うものだが、これもシステムを含めて丸ごとバックアップが可能である。リカバリーはパーティション単位で可能で、カスタムROMのイメージなどがこういったリカバリーを使ってインストールするようにされているので、OSの入れ替えをするのには必須である。

3つ目は非root端末でも利用できるadb backup。Android4以降に標準で付いたバックアップ機能であり、オプションスイッチでいろいろなバックアップが可能。バックアップしたデータはデフォルトで「backup.ab」という名前で保存される。ただこちらのバックアップはWiFiの設定等のバックアップできないデータもある。Protectedなユーザーアプリについてもバックアップされない。将来Protectedなアプリは廃止されるとかで将来的には全アプリがバックアップできるようになるはずなのだが、最近のバージョン(4.2.*前後以降)では、これまでバックアップされていた電話帳や発着信履歴といったデータもバックアップされなくなったようだ。

もっとも、電話帳データなんてgoogleアカウントを共通にしておけば同期取れるので、わざわざバックアップする必要はないし、発着信履歴だってdocomo端末の場合はdocomoコミュニケーションマネージャーがadb backupでバックアップがとれて、こちらにも含まれているみたいだし、アプリで「Call Track」というアプリを各端末に入れておけば、それぞれの発着信履歴をGoogleカレンダーで管理することができ、すべての端末間で発着信履歴をカレンダー上で共有することができる。



2014年6月 5日 (木)

iOSやAndroid端末内に保存される位置情報履歴?

ここの過去記事でも何度か触れているが、
iPhoneでは、iOS4以前は

root/Library/caches/location/h-cells.plist
iOS4では

/private/var/root/Library/Cache/locationd/consolidated.db
/var/root/Library/Cache/locationd/consolidated.db


iOS5では

/private/var/root/Library/Cache/locationd/cache_encryptedA.db
/var/root/Library/Cache/locationd/cache_encryptedA.db

この中に、Wi-Fiアクセスポイントの履歴や基地局履歴が蓄積されている。

またAndroid2.3*以前では、
/data/data/com.google.android.location/files
の中に「cache.cell」「cache.wifi」というファイルがあり、ここに同様の履歴が蓄積されている。

最近のOSはどうなんだろうとJB化したiOS7.0.4の端末内を覗いてみたのだが、以前と同名のファイルは存在しているのだが、SQLiteのDBを覗いてみてもそれらしいテーブルが無い。

Androidの方もrootかしたXperiaで調べてみると、2.3.*の時と同じディレクトリは存在するが、「cache.cell」や「cache.wifi」というファイルは無い。

今のiOSやAndroidは基地局履歴やWiFi履歴といった情報を端末内に残さないよになったんだろうか?

それともまたまた別名で別の場所に蓄積するようになったんだろうか?
あ、でもAndroidもiOSも設定メニューのWi-Fiで設定した各APの情報なんかはキャッシュとは別に持ってるはずだよなぁ。

これってどこにあるんだ?settings.db?

誰か、知ってる人いれば教えてください。

2013年2月16日 (土)

iOS6に記録される位置情報履歴

久しぶりにデジタルフォレンジックネタを。

過去にこのブログで3回に渡り、iOSに記録される位置情報について調べてみたことを記事にした。

iPhoneに記録される位置情報

iPhoneの位置情報、iOS4以前のバージョンでは

iOS5に保存される位置情報履歴?

いずれも携帯電話基地局や無線LAN基地局の位置情報(事業者、場所)と日時が記録されているということであった。

さて、今回iOSが6.1になってこれらの位置情報は一体どうなったのかという興味がわき、ちょうどiOS6のJailBreak方法も見つかったことなので、自分のiPhone4を一台iOS6.1にアップデートし、脱獄し、位置情報が入ったファイルを探してみた。

結論から言うと、位置情報の含まれるファイルはiOS5から変わっていないらしい。

/private/var/root/Library/Cache/locationd/cache_encryptedA.db

/var/root/Library/Cache/locationd/cache_encryptedA.db

このファイルにSQLiteのDB形式で記録されていた。

ただし、iOSが5から6になる過程で、iPhoneも大きく進化していることがある。

それはLTE対応。

cache_encryptedA.db内にもこれまでの「WifiLocation」や「CellLocation」といったTable以外に「CdmaCellLocation」や「LteCellLocation」といったTable他が追加されている。

おそらくiPhone5でLTEの電波をつかんだり、au版使用するとこれらのTableのデータが蓄積されていくのだろう。あいにくSBM版のiPhone4しか所有していないので確認できていない。

以前のチェック時にはSIMロックを外したiPhone4を使用していたのだが、今回のものはSBMのSIMロック版であり、3Gの電波はSBMでしか使用できないが、「CellLocation」に記録されていたデータにはMCC/MNCが44020だけでなく44010というドコモの電波も記録されていた。

なお、記録されているデータ形式は先にも書いたようにSQLiteのDBで、iOS5同様特に暗号化されているようには見えない。

iOS4の時にこの位置情報の記録が問題視されて、次のメジャーアップでは端末内に保存される位置情報履歴も暗号化する。と発表されて二度目のメジャーアップデートなのだが・・・

plist形式で記録していたデータをSQLiteのDBに変更することが暗号化という意味だったんだろうか?

ちなみに今回取り上げたのはiOS6.1であるが、Androidについても同様な情報が記録されているらしいので、この話はまた機会があれば調べて書いてみたいと思う。

2012年1月23日 (月)

iOS5に保存される位置情報履歴?

昨年の4月頃にiOS 4 以上の iPhone や iPad 3G が位置情報の履歴を端末内やPCに保存していたということが問題になった。当ブログでもこことかここで取り上げている。

この問題が騒ぎになってからアップルでは

一年近くの長期間位置情報を記録していたのはバグ

ユーザーが位置情報サービスを無効にしていても記録を取っていたのはバグ

位置情報をオフにした場合はキャッシュをクリアする

iTunesでPCに位置情報の履歴がバックアップされるのはバグ

次のiOSメジャーリリースでは端末内に保存される位置情報履歴も暗号化する

と発表し(ソースはここ)、iOS4.3.3でこれらの問題を修正しているらしい。

次のiOSメジャーリリースってiOS5のことだよなぁ。

修正前のiOS4では

/private/var/root/Library/Cache/locationd/consolidated.db

/var/root/Library/Cache/locationd/consolidated.db

この2ファイル内をSQLiteのブラウザ等で覗いてやると基地局情報の履歴等が保存されていた。

iOS5ではどうなったのかと、少し探してみると、iOS4の時と同じ名前のファイルが存在したが、「CellLocation」等といったテーブルそのものが無くなっており、暗号化とか言う以前にこのファイルには記録されていないようだ。

ところが、同じディレクトリ内に

cache_encryptedA.db

というファイルがある。

このファイルをSQLiteのブラウザで開いてやると、consolidated.dbと同じように「CellLocation」、「WifiLocation」等々といったテーブルがあり、同じように、MCC、MNC、LAC、CI、Timestamp、Latitude、Longitude等々といったデータがそのまま記録されているのがわかる。

まだ詳しくは見ていないので、どれくらいの期間保存されているのかとかどういったタイミングで記録されているのかとか、どのテーブルが何のデータを記録しているのか等々の詳細はわからないが、記録されている緯度経度を見てみると、自宅の最寄りの基地局の位置や、先週出張で行った東京方面の位置、自宅の無線LANのMACアドレスなどが確認できた。

暗号化されてるようには思えないんだけど・・・

ちなみにこのデータは「iOS 5:位置情報サービスについて」の「クラウドベースのWi-Fi と基地局位置サービス」にある

「位置情報サービス」がオンの場合、デバイスは、公衆 Wi-Fi アクセスポイントとモバイル通信網の基地局の位置情報のクラウドソースデータベースを補強するために、近くの公衆 Wi-Fi アクセスポイントとモバイル通信網の基地局のジオタグ付きの位置情報を、匿名の暗号化された形式で Apple に送信します。さらに、物理的に移動 (車で旅行など) しているときに「位置情報サービス」がオンになっている場合、GSP が有効になっている iOS デバイスは、クラウドソースの道路交通情報データベースを構築するため、GPS の位置情報と走行速度の情報も、匿名で暗号化された形式で Apple に定期的に送信します。Apple が収集するクラウドソースの位置情報データは、個人を特定しない形式で収集されます。

で使用するためだと思われる。昨年の問題発覚以降こういう説明を出すようになったらしい。

2011年9月24日 (土)

fonルーターを入手したけど、そのまま使うには危険すぎる

先日、HARDOFFのジャンク箱にfonルーターがあったのを見つけて捕獲してきた。

モノはFON2405E、調べてみるとソフトバンクモバイルが無料で配っているものらしい。

とりあえず動作チェックしてみると何の問題もなく動作しているようで、FON_FREE_INTERNET、MyPlaceどちらのSSIDにも接続可能なことが確認できた。

本ルーターはWAN側にケーブルが接続されていないとFON_FREE_INTERNETは無効となりMyPlaceの電波だけが出るようだ。

このルーター、もちろんfonルーターであるのでFON_FREE_INTERNET側については自宅のインターネット回線を世界中のfonユーザー及びソフトバンクWi-Fiスポットユーザーに対して公開してしまうのだが、説明書には一切そういう注意書きがなされていない。もちろんSBMのWEBサイトにもそういったことは書かれておらず、「今お使いのルーター、モデム等にWi-Fiルーターを接続すれば簡単にWi-Fiの高速インターネットが利用できるようになります。」としか書かれていない。

「第三者があなたになりすまして、あなたの自宅の回線からインターネット接続を行い、悪さをすることが簡単にできます。」とはひと言も書かれていない。

fonユーザーなら知っていて当然のことだが、ソフトバンクモバイルから無料提供を受けて使っているユーザーの中にはそんなことを知らない人も多いのではないだろうか。

自宅のインターネット回線を知らない間に見ず知らずの人間に自由に使わせることの危険性なんてことは、多少知識が有ればわかりそうなものだが、そもそも使わせていること自体知らなければ・・・

自分専用に安心してAPとして使う方法がないかこれから調べてみることにする。

2011年9月 2日 (金)

Android端末の画面ロックの安全性?

PDCの時代には4桁の番号、FOMAのフィーチャーフォンになって8桁までの番号が端末の画面ロックの基本だった。もちろん機種によっては指紋認証や顔認証なんてのが付いていたものもあったが。

さて、この暗証番号によるロックをかけた端末はロックを外さない限り中のデータにアクセスすることは出来ない。アクセスできてしまってはロックの意味がない。

そしてこのロックに使った暗証番号が万が一わからなくなった場合は、ショップ等でPDCの場合は総当たりによる番号検索により番号が判明。FOMAの場合はDSの端末から(機種毎に用意されたATコマンドの一種?)リセットコマンドを送出し、初期値(0000)にリセットさせる。

これらの方法により、電話機内部の記録データに影響を与えずに再びアクセスが可能となる。

さてさて、Androidスマートフォンの場合はどうだろうか。Android機の場合、機種にもよるのかもしれないが、概ね3種類のロック方法があるようだ。

まずはパターンロック、次が暗証番号、それからパスワードである。

いずれの場合も現状では、ロックの外し方がわからなくなった場合は解除する方法はないようである。例えショップ等に持ち込んだところで、全てのデータを初期化するという方法しかロックを解除することは出来ないようだ。

それでは、Android機の場合ロックされてしまった端末のデータには全くアクセスできないのかというと、どうもそうではないようで、USBデバッグがONになっている端末ならandroid-sdkがインストールされたPCに接続してやればadbコマンドでアクセスできそうである。少なくともlsコマンドなんかは普通に使えてファイル一覧なんかは取得できる。ひょっとして端末内に保存されているメールデータとか電話帳のデータも場所とファイル名がわかれば覗けちゃう?(とりあえずcatでbuild.propは覗けた)

それでもってrootを取ってる端末であれば、ロックされていても全てのデータにアクセスできてしまう?

詳しくはわからないんだけど、もし万が一ロック状態を記録しているファイルがわかれば、それを上書きしてしまえばロック外れちゃう?さすがにそんな甘いことはないか。

もうちょっと詳しくAndroidのディレクトリ構造やファイル構造を勉強しないとわからないけど、調べてみようかな。

もしそうなら、USBデバッグをONのままにしておくのってすごい危険なことになる。まぁ普通の人はONにはなってないのかもしれないけど。

2011年4月22日 (金)

iPhoneの位置情報、iOS4以前のバージョンでは

昨日に書いたiOS4による位置情報の記録

それではiOS4以前ではどうだったのかという話がこちらのブログに書かれてあった。

この記事によると、位置情報の記録はiOS4に始まった話ではなく、以前のバージョンでは「h-cells.plist」というファイルに記録されており、

「root/Library/caches/locationd」フォルダ

に保存されている。但しアプリからは隠れていて簡単にはアクセスできないそうだ。(脱獄したiPhoneにiFunbox等のアプリとか、PCへのバックアップファイルの中からでも無理なんだろうか?)

ちなみに記録されているデータはiOS4のconsolidated.dbとほぼ同じ。

consolidated.dbがSQLiteなのに対し、h-cells.plistはApple Property Listのフォーマット(たしか電話帳やメールと同じだったような)で保存されている。

こういった位置情報は、捜査機関に使われているとのこと。

それから、この位置情報についてはiPhone等の利用規約に位置情報の取り扱いが明記されているそうだ。

客のiPhoneのリアルタイムの位置情報を送信し、収集し、保持し、処理し、使用することが出来る。客は同意し承諾したことになる。

と書いてあるらしい。

こちらのデータもconsolidated.db同様に確認したかったのだが、あいにく手持ちのiPhoneは既にiOS4、PC内のバックアップファイルもiPhoneOS3以前のものが無く、確認できなかった。

2011年4月21日 (木)

iPhoneに記録される位置情報

今朝、職場で教えてもらったのだが、iPhoneのiOS4がユーザーの行動履歴を保存していることが判明したのだとか。

ググってみると確かにこの話題だらけだ。何のためにこんな情報を記録しているのかは分からないけれど、外部に送信・公開されているというものではないらしい。

というわけで調べてみた。

記事によると、「consolidated.db」というファイル内に暗号化されることもなくおよそ10ヶ月分の基地局の履歴が保存されているのだとか。

この「consolidated.db」というファイル、本体内では、

/private/var/root/Library/Cache/locationd/consolidated.db

/var/root/Library/Cache/locationd/consolidated.db

の2カ所にあった。

もう一カ所同名のファイルがあったが、これは違うようだ。上記の2ファイルは全く同じ物。

システム内のファイルなので、普通はユーザーがアクセスできないが、iTunesに接続してパソコンにバックアップすることでアクセス可能となる。つまりパソコン内に保存されているiPhoneやiPadのバックアップファイルを調べることで、その持ち主の行動が分かってしまうことになる。

「consolidate.db」はSQLiteのデータである。SQLiteのデータを見ることができるツールを使えば中身が容易に見える。

というわけで覗いてみると「CellLocation」というテーブルがありこの中に、MCC、MNC、LAC、CI、Timestamp、Latitude、Longitude等々といったデータがあるわあるわ。

MCCはMobile country code

MNCはMobile Network code

LACはLocation Area code

CIはCID(Cell ID)

ということで、どこの国のなんという事業者を使っていたのかとか、どの基地局を補足していたのかということが丸わかり。SIMフリー機でSIMをとっかえひっかえ使っている場合はいつどの事業者のSIMで使っていたのかなんてことまでわかってしまう。

なおTimestampは2001年1月1日00:00(GMT)からの秒が記録されているので変換してやると実際の日時が分かる。LatitudeやLongitudeは基地局の緯度経度の情報だと思われる。

さらにこのdb内にはWifiLocationというテーブルもあった。こちらは補足した無線LANの親機の情報を記録しているようだ。こちらも日時情報や緯度経度の情報、無線LANの識別は親機のMACアドレスを記録している。

既にOS X 10.6用にこれらのデータを地図にプロットするソフト「iPhone Tracker」が公開されている。Windows用ツールが出てくるのも時間の問題だと思われる。

なお、こちらのサイトに「consolidated.db」をアップロードすると、GoogleMap上にプロットしてくれるので、興味のある人は試してみては。

自分の場合は昨年の8月30日から4月13日まで1634のポイントが記録されていた。記録のタイミングがいまいちどうなっているのかわからないが、出張で出かけた際の移動経路や帰省して徘徊した場所、普段の行動範囲が見事に地図上に表れた。なおポイント一つ一つにきちんとタイムスタンプが付いているので、過去の行動も思い出しやすい。

この「consolidate.db」さっきも書いたように、一般的にはユーザーがアクセスできない場所にファイルがあり情報が記録されており、普通はユーザーが消すとか中のデータを改ざんするといったことは行えない。これだけ世界的に話題になってしまっては、次のiOSのバージョンアップで何らかの手が加えられるかもしれないが、フォレンジック的にはおいしい情報だと思う。

本当は、この記事を書くにあたり、実際にSQLiteのファイル内にデータが記録されている状況や、プロットした地図などをキャプって載せようかと思ったのだが、やっぱり自分の個人情報だったりするので止めた。

2011年3月 7日 (月)

結局は大学側の情報管理の甘さなのか

今回のカンニング問題、いろいろと手口を推測したりしてみたが、結局一人で試験会場内で携帯電話機に直接問題文を入力して投稿し、回答を見ていたとのことで落ち着いたようだ。

大学入試の試験場ってことで、まさかそんなことができるはずが無いと、いろいろな手口を推測していたが何のことはない、試験会場内で堂々と携帯電話機を操作していた。しかも試験官の見回りは来なかったと。

万全の態勢で臨んだ試験監督って何だったんだろう?大学側は100%自分たちは被害者みたいな立場みたいだけど、これって試験官は処分もんじゃないの?

ちなみに今回の投稿者の特定に至った仕組みについては、詳しくは別の機会に書くとして、IPアドレスだとか、携帯電話機の個体識別の仕組みだとかってのは、今では学校で「情報」の授業で教えるんだってね。

教科書にはどういうふうに書いてあるんだろう?ちょっと見てみたい気がする。

より以前の記事一覧

facebook

twitter

#XPERIAアンバサダー