移动设备电子取证原理简明.pdfVIP

移动设备电子取证原理简明

本文主要说明移动电子设备（Android、iOS）数据取证其具体实现原理，以便读者了解并充

分防范，避免因言获罪导致派出所传唤时，警察在你的手机、平板上提取出关键性电子证据

进行定罪。

移动电子设备取证核心实现技术——漏洞利用

你或许在网上听说过，某公司开发的综合取证平台能针对XXAndroid手机、XXiPhone手

机进行取证，且支持到最新XX代版本系统，XX品牌机型。这是怎么做到的？数字取证提供

商通常不会公开其工具的具体型号或渗透能力，而是使用模糊术语进行营销。在这里，是硬

件和操作系统制造商与寻找漏洞的数字取证提供商之间的持续猫鼠游戏——利用漏洞绕过

屏幕密码锁以及Root实现闪存芯片存储数据的全盘读取是取证的关键所在。

每隔近一个月时间，Google、Apple均会发布它们旗下操作系统最新漏洞修复补丁，这些修

复的漏洞包括本地提权、远程代码执行、信息披露、拒绝服务攻击等等…它们是系统在开发

设计时因为某些人为或者不为的情况下出于某种疏忽从而导致的代码逻辑缺陷，犹如bug的

原因一样，被后人发现并开发利用。黑帽用于设备攻击，勒索、窃取用户个人信息，而取证

公司利用其开发绕过密码锁获取手机数据的方式，在可行的条件下（有其它已知提权漏洞可

使用），还能将手机临时获取root权限提取闪存芯片全盘数据镜像。

可能出现漏洞的系统组件多种多样，CPU、GPU、基带等等硬件、系统的内核、进程管理、内

存缓冲区、UI、功能应用层、系统默认的APP特性组件、厂家预装的内置功能组件；它们都

有可能存在有你不知道的代码缺陷后期被发现。

参考举例

1.谷歌在其2025年4月的Android安全更新中，发布了针对62个漏洞的补丁，其

中包括两个在定向攻击中被利用的零日漏洞，引发业界关注。据悉，其中一个零日漏洞（CVE-

2024-53197）属于高严重性特权升级安全漏洞，存在于Linux内核针对ALSA设备的USB

音频驱动程序中。据报道，塞尔维亚当局曾利用该漏洞，作为以色列数字取证公司

Cellebrite开发的零日漏洞利用链的一部分，来解锁被没收的Android设备。这个漏洞利

用链还包含今年2月修复的USB视频类零日漏洞（CVE-2024-53104）以及上个月修复的

人机接口设备零日漏洞（CVE-2024-50302）。国际特赦组织安全实验室在2024年年中分析

塞尔维亚警方解锁设备上的日志时发现了该漏洞利用链。谷歌曾于2月告知

BleepingComputer，这些修复程序已于1月分享给原始设备制造商（OEM）合作伙伴。谷歌

发言人表示：“在这些报告发布之前，我们就已经知晓这些漏洞及其利用风险，并迅速为

Android开发了修复程序。1月18日，我们在合作伙伴咨询中向OEM合作伙伴分享了这

些修复程序。”本月修复的第二个零日漏洞（CVE-2024-53150）是一个Android内核信息泄

露漏洞，由越界读取缺陷导致，使得本地攻击者无需用户交互，就能访问受影响设备上的敏

感信息。除了这两个零日漏洞，2025年3月的Android安全更新还修复了其他60个安

全漏洞，其中大多数是高严重性的权限提升漏洞。谷歌发布了两组安全补丁，分别为2025-

04-01和2025-04-05安全补丁级别。后者涵盖了第一批补丁的所有修复内容，以及针对闭

源第三方和内核子组件的安全补丁，但这些补丁不一定适用于所有Android设备。谷歌

Pixel设备会立即收到这些更新，而其他厂商通常需要更长时间来测试和微调安全补丁，以

适配其特定的硬件配置。

2.2024年11月，谷歌修复了一个Android零日漏洞（CVE-2024-43047）。该漏洞在

2024年10月首次被谷歌零项目标记为已被利用，并被塞尔维亚政府用于通过NoviSpy

间谍软件攻击活动人士、记者和抗议者的Android设备。

3.2023年10月03日，Arm周一警告其Mali系列GPU驱动漏洞CVE-2023-4211正被

活跃利用。MaliGPU被广泛用于GooglePixels等Android手机，Chromebook等Linux

设备。本地非特权用户可利用该漏洞访问已释放的内存。访问不再使用的系统内存是将恶意

代码加载到攻击者可执行位置的一种常见机制