趙 露，康艷榮，郭麗莉，龍 源

（公安部物證鑒定中心，痕跡科學(xué)與技術(shù)公安部重點(diǎn)實(shí)驗(yàn)室，北京 100038）

智能手表，作為可穿戴設(shè)備[1]的一種，由于其使用更加便捷，可完成功能更多，成為最受歡迎的可穿戴設(shè)備之一。智能手表內(nèi)置智能化系統(tǒng)，通過配對智能手機(jī)或獨(dú)立連接到網(wǎng)絡(luò)可實(shí)現(xiàn)多種功能。除了可同步手機(jī)中的電話、短信、郵件、照片、音樂等數(shù)據(jù)信息外，具有GPS、心率傳感器等功能的手表還可以監(jiān)控并記錄用戶的心率、運(yùn)動軌跡等運(yùn)動健身和醫(yī)療保健信息[2]，并可與手機(jī)或云存儲空間進(jìn)行同步。這些功能必然使智能手表中存儲大量電子物證數(shù)據(jù)信息，而對這些數(shù)據(jù)信息的獲取也必然會成為未來電子物證技術(shù)發(fā)展的一個重要方向。

1 智能手表取證國內(nèi)外研究現(xiàn)狀

目前國內(nèi)外研究機(jī)構(gòu)都已經(jīng)逐漸開展了對智能手表取證的研究，但是由于智能手表是近兩年才爆發(fā)式增長的電子設(shè)備，因此其研究大都處于剛起步狀態(tài)，相關(guān)文獻(xiàn)和案例還較少。

國外方面，已有多起案件使用智能手表中的數(shù)據(jù)信息作為證據(jù)和線索[2]。目前已知首次被報道的將智能手表的活動數(shù)據(jù)作為證據(jù)的案例是在加拿大一起人身傷害訴訟中，原告要求用她佩戴的Fitbit智能手表的數(shù)據(jù)，來證明她在事故發(fā)生后的行動力水平突然下降[3]。該案并非直接由Fitbit遞交原始數(shù)據(jù)作為證據(jù)，而是交由第三方分析機(jī)構(gòu)Vivametrica做綜合分析，并提交一份可信報告給法院。涉及智能手表數(shù)據(jù)的另一起案件中，相關(guān)的睡眠監(jiān)控?cái)?shù)據(jù)和運(yùn)動軌跡數(shù)據(jù)幫助推翻了原告的證詞[4]。原告聲稱在睡眠中被綁架，而警方提取她佩戴的Fitbit檢驗(yàn)后，其中數(shù)據(jù)卻證明了她在自己聲稱睡眠的時段里是清醒的，并且整個晚上都在走動。由這些案例可以推斷，通過隨身佩戴的智能手表直接獲取活動數(shù)據(jù)，可以應(yīng)用的領(lǐng)域范圍應(yīng)該更廣闊。生產(chǎn)手機(jī)取證設(shè)備的以色列Cellebrite公司在2015年7月7日的更新日志中稱其設(shè)備UFED已經(jīng)可以繞過屏幕鎖，對包括LG G watch和三星Galaxy Gear SM-V700在內(nèi)的搭載Android Wear系統(tǒng)的智能手表數(shù)據(jù)進(jìn)行物理提取[5]。

國內(nèi)方面，相關(guān)研究人員已經(jīng)對智能手表開展了取證研究。美亞柏科的研究人員研究了Apple Watch的取證方法[6]，他們研究了其中應(yīng)用軟件的安裝方式，Apple Watch與iPhone手機(jī)之間的信息交互關(guān)系，可利用物理接口等。研究者通過iTunes對與Apple Watch配對的iPhone文件進(jìn)行備份，再利用取證軟件對備份文件進(jìn)行解析，得到了大量有用的數(shù)據(jù)，這些數(shù)據(jù)中不僅包含了Apple Watch的所有人信息、配對時間、連接的Wi-Fi適配器MAC地址、藍(lán)牙MAC地址等智能手表本身的信息，還包含了由數(shù)據(jù)同步得到的通訊錄、APP列表、郵件賬戶等其他數(shù)據(jù)。研究人員發(fā)現(xiàn)Apple Watch和配對iPhone之間的數(shù)據(jù)信息并非實(shí)時同步，在iPhone中刪除的信息和卸載的APP并不會相應(yīng)在Apple Watch上進(jìn)行刪除。因此對Apple Watch的數(shù)據(jù)進(jìn)行提取將找到很多手機(jī)中已被刪除的有價值的數(shù)據(jù)，并可作為iPhone App數(shù)據(jù)刪除恢復(fù)的來源。

2 智能手表取證方法研究

本文作者通過大量調(diào)查分析和一系列實(shí)驗(yàn)驗(yàn)證來研究智能手表的取證方法。通過市場調(diào)研，選擇了市面上比較流行的幾款進(jìn)行實(shí)驗(yàn)。這些智能手表的選擇充分考慮到其搭載系統(tǒng)和適配系統(tǒng)，以及具備的功能和面向用戶等方面，幾乎包含了市場上智能手表的所有主流類型，保證這些類型覆蓋了80%以上的用戶選擇。本文的研究對象見表1。

表1 實(shí)驗(yàn)用智能手表Table 1 Smart watches for experiment

通過實(shí)驗(yàn)，本文提出了幾種在目前技術(shù)水平下可被廣泛投入實(shí)戰(zhàn)的智能手表取證方法。

2.1 通過USB連接電腦進(jìn)行取證

通過研究發(fā)現(xiàn)，具有外接數(shù)據(jù)接口的手表可以通過其外置的接口直接取證。目前市場上有部分智能手表，可以通過表殼背面的觸點(diǎn)（見圖1）連接USB數(shù)據(jù)線進(jìn)行充電和數(shù)據(jù)傳輸；部分國產(chǎn)智能手表，如本文實(shí)驗(yàn)中的好奔智能手表和GEAK Watch Pro智能手表，會在手表外部直接留有USB數(shù)據(jù)接口或觸點(diǎn)，可直接連接電腦進(jìn)行數(shù)據(jù)傳輸；某些智能手表將數(shù)據(jù)端口整合到充電終端上，如：三星將其手表Gear 2的USB連接線端口整合到對應(yīng)的充電終端上，借助其充電終端可以將智能手表與電腦進(jìn)行連接[7]，在電腦上進(jìn)行數(shù)據(jù)操作；另一方面對于大部分外殼表面并沒有數(shù)據(jù)傳輸接口的智能手表，很多在表殼內(nèi)部保留了USB插針[8]，因而可以嘗試通過連接表殼內(nèi)部的USB插針進(jìn)行取證工作。由以上分析可知，對可以通過USB連接到電腦的智能手表可以考慮通過USB連接線，利用相應(yīng)取證設(shè)備對智能手表中的數(shù)據(jù)進(jìn)行提取和分析[9]。

根據(jù)手表不同的型號和不同的系統(tǒng)可考慮采用物理提取或邏輯提取方法。1）物理提取方法。大部分國產(chǎn)智能手表采用MTK芯片，連接電腦通過手機(jī)取證工具就可以直接獲取到手表芯片的完整鏡像并進(jìn)行解析。項(xiàng)目組已對搭載MTK芯片的國產(chǎn)“好奔”智能手表進(jìn)行鏡像提取并解析成功（見圖2）。2）邏輯提取方法。對于無法進(jìn)行物理提取的機(jī)型，可考慮邏輯提取的方法。目前針對部分智能手表操作系統(tǒng)已可以獲取系統(tǒng)權(quán)限進(jìn)而進(jìn)行取證。如基于Android Wear系統(tǒng)的部分手表型號已經(jīng)可以通過刷入第三方Recovery刷機(jī)包或ROM的方法獲取ROOT權(quán)限[10]，在此基礎(chǔ)上可以對其進(jìn)行更加全面的數(shù)據(jù)獲取。

圖1 具有USB數(shù)據(jù)接口和觸點(diǎn)接口的智能手表Fig.1 Smart watches with a USB/contact port

圖2 MTK芯片智能手表鏡像提取Fig.2 Mirror-image extraction from an MTK-chip-installed smart watch

2.2 通過配對手機(jī)進(jìn)行取證

目前幾乎每款智能手表，包括可以插入SIM卡進(jìn)行獨(dú)立電話撥打的手表，都需要與對應(yīng)的手機(jī)進(jìn)行配對[11]，并與手機(jī)進(jìn)行數(shù)據(jù)交互和同步。交互方式通常是在配對手機(jī)上安裝對應(yīng)的APP，在該應(yīng)用下進(jìn)行一系列設(shè)置使得手機(jī)和手表之間可以進(jìn)行同步交互。因此可以考慮將智能手表中的數(shù)據(jù)同步到對應(yīng)的手機(jī)APP上，再利用手機(jī)取證設(shè)備對手機(jī)中應(yīng)用進(jìn)行取證分析，從而間接得到手表中的數(shù)據(jù)[12]。以Apple Watch為例，它會將其中數(shù)據(jù)與配對iPhone進(jìn)行同步，因此對iPhone備份文件解析可以得到Apple Watch中的數(shù)據(jù)。筆者對有配對Apple Watch的iPhone的backup文件進(jìn)行解析（見圖3），在路徑“privatevarmobileLibraryDeviceRegistry” 下 可 以找到配對Apple Watch的很多信息，比如該路徑下的“NanoAppRegistry”文件夾下可以找到所有在Apple Watch上安裝的應(yīng)用[19]。此種方法尤其適用于沒有物理接口的手表，如上文中列出的Apple Watch、Moto 360二代、HiClingVOC、小米手環(huán)等不同種類的智能手表均可考慮采用此種方式來進(jìn)行取證。

圖3 iTunes backup文件解析結(jié)果Fig.3 Analysis result of an iTunes backup file

2.3 對手表存儲芯片進(jìn)行取證

部分機(jī)型的智能手表使用與手機(jī)類似的存儲芯片。對于這類智能手表，可直接對其硬件進(jìn)行拆解，得到存儲芯片，通過相應(yīng)設(shè)備對芯片中的數(shù)據(jù)進(jìn)行物理提取[13]并解析。這種方法可以得到智能手表最完整的數(shù)據(jù)，但需要面對的困難是智能手表的硬件集成度更高，拆解過程中可能容易損壞存儲芯片，對取證人員的技術(shù)水平有了更高的要求。筆者現(xiàn)已對GEAK Watch Pro等智能手表進(jìn)行了拆解，并成功提取到芯片數(shù)據(jù)鏡像文件（見圖4）。

圖4 GEAK Watch Pro拆解圖和主板Fig.4 Dismantling the GEAK Watch Pro and its mainboard

2.4 對手表的外置存儲卡進(jìn)行取證

受體積和技術(shù)的限制，一部分智能手表（多數(shù)為國產(chǎn)山寨手表）機(jī)身內(nèi)存較小，需要通過外置存儲卡進(jìn)行數(shù)據(jù)存儲，在這種情況下手表的大多數(shù)媒體數(shù)據(jù)都會存儲在其外置存儲卡上（見圖5），因此對外置存儲卡進(jìn)行取證非常有必要。

2.5 對手表的SIM卡進(jìn)行取證

目前市場上一部分智能手表以可單獨(dú)進(jìn)行通話為賣點(diǎn)，如兒童電話手表等。這類手表可單獨(dú)插SIM卡進(jìn)行通話和發(fā)送短信（見圖5），由此產(chǎn)生的通話記錄和信息數(shù)據(jù)有可能會存儲在SIM卡中，因此對其SIM卡的取證同樣必不可少[14]。

圖5 具有SIM卡槽和存儲卡槽的智能手表Fig.5 A smart watch installed of both SIM and SD card slots

3 智能手表取證進(jìn)一步研究難點(diǎn)

由于智能手表具有體積小但數(shù)據(jù)復(fù)雜等特點(diǎn)，取證工作仍面臨很多困難需要繼續(xù)解決。

3.1 無法進(jìn)行有線連接的手表

由于要滿足體積小巧外形美觀等要求，大多數(shù)智能手表沒有用于數(shù)據(jù)傳輸?shù)慕涌冢潆娨餐ǔ２捎脽o線充電的方式[15]，手表中的數(shù)據(jù)都是通過無線連接方式同步到手機(jī)上。在這種情況下，過去在手機(jī)取證中常用到的USB連接電腦進(jìn)行數(shù)據(jù)提取的方式就無法使用。雖然可以考慮采用上文中通過手機(jī)端獲得部分?jǐn)?shù)據(jù)，但由于手機(jī)和手表間的同步并非實(shí)時，且手表中數(shù)據(jù)并不會完全同步到手機(jī)上，也就是說手機(jī)端和手表端的數(shù)據(jù)并非完全一致，這種情況下對手表的單獨(dú)取證變得尤為重要，也將是未來智能手表取證的重要研究方向。

3.2 手表內(nèi)部硬件結(jié)構(gòu)復(fù)雜拆解困難

由于手表精巧緊湊的結(jié)構(gòu)，造成其內(nèi)部硬件集成度非常高[16-18]，在采用對其拆解后直接讀取芯片的方式時，很可能在拆解過程中造成芯片被破壞，因此對取證人員的拆解存儲芯片能力提出了更高要求。另一方面智能手表可能采用定制的存儲芯片[19]，因此對拆解下來的芯片進(jìn)行數(shù)據(jù)提取可能也存在一定困難。

3.3 數(shù)據(jù)解析方法需要研究

由于受到運(yùn)算能力和存儲空間的限制，智能手表中數(shù)據(jù)的存儲方式與手機(jī)中的數(shù)據(jù)存儲方式并不完全相同，并且大多數(shù)智能手表采用了與智能手機(jī)不同的操作系統(tǒng)[20-21]。因此在解析數(shù)據(jù)方面也需要進(jìn)行進(jìn)一步研究。

4 智能手表取證方法研究趨勢

在研究過程中，筆者提出了一些其它的方法和設(shè)想，但限于目前國內(nèi)外的技術(shù)水平，這些方法仍需要進(jìn)一步的研究，不能被立刻用于實(shí)戰(zhàn)。但對這些技術(shù)方法的了解和研究有助于拓展電子物證的取證思路，突破取證瓶頸，進(jìn)而深化電子物證的取證工作，促進(jìn)電子物證專業(yè)發(fā)展。結(jié)合現(xiàn)有研究進(jìn)展及上文中總結(jié)的智能手表取證難點(diǎn)，本文列出其中兩種思路以供參考。

4.1 通過無線連接對手表進(jìn)行取證

就目前研究結(jié)果來看，手表和其配對手機(jī)通過藍(lán)牙、Wi-Fi等無線形式進(jìn)行通訊和數(shù)據(jù)同步，大部分仍采用一種較弱的加密機(jī)制SSL 2.0，使用專門的破解工具很容易就可以將密碼暴力破解出來[22]，而一旦破解之后就可以監(jiān)控手表和手機(jī)之間傳送的信息。目前智能手表的固件更新加密也非常不足，這為我們通過無線的方式向手表的操作系統(tǒng)刷入取證需要的固件信息提供了便利。

4.2 云備份取證

目前主流電子產(chǎn)品廠商（如蘋果，華為等）為用戶免費(fèi)提供了云同步功能和一定大小的云存儲空間以存儲同步數(shù)據(jù)。用戶可以將重要數(shù)據(jù)（如通訊錄，短信息，相冊，系統(tǒng)設(shè)置等）同步備份到云空間，在必要的時候再將這部分?jǐn)?shù)據(jù)恢復(fù)到本地。該功能由于非常方便快捷，大多消費(fèi)者都會選擇使用，也是廠商推薦的方式?？紤]到與手機(jī)配對的手表中的一部分信息也會被同步到云端，因此對云備份進(jìn)行取證，也是獲取手表中數(shù)據(jù)的一個有效途徑。

5 總結(jié)

本文首先就目前國內(nèi)外智能手表取證的現(xiàn)狀進(jìn)行了總結(jié)，分析了智能手表取證的一些難點(diǎn)，并在此基礎(chǔ)上提出幾種就目前技術(shù)水平可行的取證方法，最后展望了未來可能的取證方法發(fā)展趨勢。智能手表是近幾年才新興的電子產(chǎn)品，國內(nèi)外對它的取證技術(shù)還不夠成熟，仍然有很大進(jìn)步空間。本文提出的幾種取證方法通過實(shí)驗(yàn)驗(yàn)證可以被應(yīng)用于實(shí)戰(zhàn)，希望能夠?yàn)殡娮游镒C檢驗(yàn)人員今后的工作提供幫助和參考。

[1] 楊天一. 可穿戴設(shè)備[J]. 數(shù)據(jù)通信,2015(2): 49-50.

[2] SCOTTG. Fitbit data increasingly used as court evidence[EB/OL].(2015-07-03)[2016-11-23]. http://www.avoiceformen.com/featured/fitbit-data-increasingly-used-as-court-evidence/.

[3] GRIFFITHS S. Fitbit data is now being used in COURT: Wearable technology is set to revolutionise personal injury and accident[EB/OL]. (2014-11-17)[2016-11-23]. http://www.dailymail.co.uk/sciencetech/article-2838025/Fitbit-data-used-COURT-Wearable-technology-set-revolutionise-personalinjury-claims.html.

[4] PICKLESK. Police claim woman lied about being raped after her ‘Fitbit’ fi tness watch showed she had not been dragged from her bed[EB/OL]. (2015-06-22)[2016-11-23]. http://www.dailymail.co.uk/news/article-3134701/Police-claim-woman-liedraped-Fitbit- fi tness-watch-showed-not-dragged-bed.html.

[5] GAZOLI H. New UFED release 4.2.2 offers exclusive support,impressive breakthroughs and enhanced decoding[EB/OL].(2015-07-07)[2016-11-23]. http://blog.cellebrite.com/newufed-release-4-2-2-offers-exclusive-support-impressivebreakthroughs-and-enhanced-decoding/.

[6] 美亞柏科. [美亞技術(shù)分享]第五期:Apple Watch取證淺析[EB/OL].(2015-07-08)[2016-11-23]. http://www.300188.cn/news/sharing-show-446.html.

[7] SUMSUNG. SUMSUNG SM-R380使用說明書[EB/OL].[2016-11-23]. http://downloadcenter.samsung.com/content/UM/201407/20140708114718498/SM-R380_UM_Open_China_Chi_Rev.1.1_140701.pdf.

[8] 搜狐數(shù)碼. Moto 360被黑客破解可刷其他ROM[EB/OL].(2014-09-27)[2016-11-23]. http://digi.it.sohu.com/20140927/n404700124.shtml.

[9] HOOG A. 安全技術(shù)大系:Android 取證實(shí)戰(zhàn)·調(diào)查、分析與移動安全[M]. 何涇沙,譯. 北京:機(jī)械工業(yè)出版社,2013.

[10] SARANG. How to install a custom ROM on Android wear?Root and install TWRP[EB/OL].(2016-07-04)[2016-11-13]. http://www.Androidsage.com/2016/07/04/how-to-installcustom-rom-on-Android -wear-root-and-twrp/.

[11] SUMSUNG. SUMSUNG SM-R750使用說明書[EB/OL].[2016-11-23]. http://downloadcenter.samsung.com/content/UM/201501/20150109140759720/SM-R750_UM_Open_China_Tizen_Chi_Rev.1.2_150106.pdf.

[12] MAHALIK H, TAMMA R, BOMMISETTY S. Practical Mobile Forensics[M]. 2nd Edition. Birmingham: Packt Publishing,2016.

[13] BREEUWSMA M, DEJONGHM, KLAVER C, et al.Forensic data recovery from fl ash memory[J]. Small Scale Device Forensics Journal, 2007(1): 1-17.

[14] 王桂強(qiáng).手機(jī)物證檢驗(yàn)及其在刑事偵查中的應(yīng)用[J].刑事技術(shù),2006(1):25-31.

[15] 冉玄同. 智能手表較智能手機(jī)更適合無線充電前景看好[EB/OL].(2014-09-09)[2016-11-23]. http://www.hqew.com/info-284290.html.

[16] 電子產(chǎn)品世界. Pebble智能手表拆解:維修工作幾乎不可能[EB/OL].(2014-01-27)[2016-11-23]. http://www.eepw.com.cn/article/221164.htm.

[17] I fi xit. Samsung Gear 2 Teardown[EB/OL]. [2016-11-23]. https://www.i fi xit.com/Teardown/Samsung+Gear+2+Teardown/23990.

[18] Ifixit. Apple Watch Teardown[EB/OL]. [2016-11-23]. https://www.i fi xit.com/Teardown/Apple+Watch+Teardown/40655.

[19] 尹品品. 蘋果Apple Watch智能手表芯片S1詳細(xì)解析[EB/OL].(2015-08-26)[2016-11-23]. http://mt.sohu.com/20150826/n419808497.shtml.

[20] 網(wǎng)易手機(jī). Android Wear手表系統(tǒng)發(fā)布 Moto360亮相[EB/OL].(2014-06-26)[2016-11-23]. http://mobile.163.com/14/0626/02/9VKOQGID0011179O.html.

[21] 王超文. 三星擺脫 Google 的征兆:運(yùn)行Tizen的 Galaxy Gear[EB/OL].(2014-02-19)[2016-11-23]. http://www.ifanr.com/402316.

[22] LENNON M. All Smartwatches Vulnerable to Attack: HP Study[EB/OL]. (2015-07-23)[2016-11-23]. http://www.securityweek.com/all-smartwatches-vulnerable-attack-hp-study.