王李平 李天長(zhǎng) 王超 張江文
1. 重慶市公安局大渡口區(qū)分局 2. 重慶市公安局
近期,在辦理的一起案件中,嫌疑人手機(jī)中安裝了境外即時(shí)通訊聊天工具Secret,軟件logo如圖1所示。該Secret社交APP以“去中心化”為主要特點(diǎn),具有自己的獨(dú)特特點(diǎn),其中最受用戶歡迎的是用戶隱私保護(hù)特點(diǎn)和群組功能,目前支持21種國(guó)家語(yǔ)言。該APP的群組成員最多可以達(dá)20萬(wàn)用戶,遠(yuǎn)遠(yuǎn)超過(guò)了國(guó)內(nèi)像微信、QQ之類的聊天工具的用戶限制;用戶之間的聊天內(nèi)容可以開(kāi)啟閱后即焚的功能,為私密消息設(shè)定生命周期,且隨時(shí)可以刪除本設(shè)備或所有設(shè)備接收的登錄用戶發(fā)送的消息內(nèi)容。
區(qū)塊鏈社交Secret即時(shí)通訊APP的數(shù)據(jù)存儲(chǔ)沒(méi)有存儲(chǔ)在本地,且發(fā)送的消息可以閱后即焚和隨時(shí)刪除,給執(zhí)法人員提取數(shù)據(jù)帶來(lái)了極大的困難。該類APP的數(shù)據(jù)提取方法不同于其它傳統(tǒng)的APP提取方法[1-5]。結(jié)合本文案例,首先介紹一下Secret軟件具有的特點(diǎn)[6]。
使用Secret時(shí),所有聊天內(nèi)容都會(huì)進(jìn)行端到端的加密。每一條發(fā)送的信息都有自己的安全鎖和安全密鑰,而且所有的信息都會(huì)自動(dòng)進(jìn)行端到端的加密,可確保所有聊天信息的安全性和隱私性。
Secret的視頻通話也會(huì)進(jìn)行端到端的加密,這意味著Secret和第三方均無(wú)法聽(tīng)取通話內(nèi)容,端到端的對(duì)聊天、傳送文件、圖片、視頻進(jìn)行加密。據(jù)官方消息稱,服務(wù)器不會(huì)保存用戶的任何聊天記錄,保證用戶消息的絕對(duì)安全。
不同于微信、QQ等聊天軟件,受到群組成員人數(shù)的限制,Secret軟件可以快速建立上萬(wàn)人的群組??梢耘c群組內(nèi)的多人聊天、對(duì)話、共享文件和共享視頻等,進(jìn)行便捷高效的多方溝通對(duì)話。100人以下群組使用非對(duì)稱超級(jí)加密技術(shù),端到端發(fā)送非對(duì)稱加密。1000人以上的群組采用Telegram的群組加密技術(shù)。
社區(qū)里面有我的好友朋友圈,可以分享生活圖片、文字信息,還有語(yǔ)音分享、在線電臺(tái)(在微社區(qū)和直播區(qū)與主播實(shí)時(shí)互動(dòng))、短視頻分享、在線課程(可以在線分享自己的經(jīng)驗(yàn))、萬(wàn)人在線會(huì)議、視頻會(huì)議等。自己也可以發(fā)布一些動(dòng)態(tài)信息,來(lái)分享自己的生活、經(jīng)歷、見(jiàn)聞等,也可以對(duì)朋友圈內(nèi)發(fā)布的內(nèi)容進(jìn)行點(diǎn)贊、分享和打賞。
Secret基于萬(wàn)人群和社區(qū),允許第三方接入各種Web應(yīng)用程序,包括游戲、購(gòu)物、信息等豐富多樣的內(nèi)容,力求全方位提升用戶體驗(yàn),為眾多開(kāi)發(fā)者提供一個(gè)大舞臺(tái)。
(1)移動(dòng)平臺(tái)接入:接入開(kāi)放平臺(tái),應(yīng)用支持分享、收藏和支付;
(2)支持用戶登錄:網(wǎng)站允許使用Secret帳號(hào)登錄;
(3)行業(yè)解決方案:成為開(kāi)放平臺(tái)的第三方,為企業(yè)級(jí)用戶提供運(yùn)營(yíng)服務(wù)和行業(yè)解決方案;
(4)IM服務(wù):為第三方公司提供IM服務(wù)與合作。
Secret軟件具有iOS版本、Android版本、MAC版本、Windows版本及Web版本等。經(jīng)過(guò)多種方式測(cè)試Secret社交軟件,得到該軟件有諸多功能特征。最近,Secret軟件進(jìn)行了升級(jí),升級(jí)后的功能比較如表1所示。
升級(jí)前的Secret軟件可以在移動(dòng)終端、PC端和Web端進(jìn)行注冊(cè),目前僅允許移動(dòng)終端通過(guò)注冊(cè)信息登錄,而PC端和Web端取消了注冊(cè)功能;在PC端和Web端登錄也取消了手機(jī)號(hào)登錄的功能。移動(dòng)終端版Secret軟件對(duì)于本設(shè)備發(fā)送的消息可以設(shè)置銷毀時(shí)間,最短時(shí)間是5秒鐘,最長(zhǎng)時(shí)間為4周,Web端Secret和PC端的Secret同樣可以設(shè)置內(nèi)容銷毀時(shí)間,最短時(shí)間和移動(dòng)終端一樣是5秒鐘,最長(zhǎng)時(shí)間不一樣,是1天而不是4周。
Secret軟件的數(shù)據(jù)無(wú)法在登錄其他設(shè)備時(shí)同步到新登錄設(shè)備上,只有新發(fā)送或接收的數(shù)據(jù)才會(huì)在不同設(shè)備上同步顯示。也就是說(shuō),早期登錄的設(shè)備上的數(shù)據(jù)在新登錄的設(shè)備上不會(huì)顯示。在登錄新設(shè)備后再發(fā)送或接收的消息所有設(shè)備都會(huì)顯示。
?
移動(dòng)終端退出后,不影響PC端和Web端的正常使用,即獨(dú)立運(yùn)行。不論為移動(dòng)終端還是電腦終端、Web端,Secret都可以獨(dú)立運(yùn)行。
4.3 社區(qū)上門(mén)輸液安全管理模式可以提高患者的滿意度 對(duì)家庭輸液患者開(kāi)展針對(duì)性的健康教育和用藥指導(dǎo)提高了上門(mén)輸液患者及家屬對(duì)相關(guān)輸液知識(shí)和藥物的知曉率,使家屬能掌握簡(jiǎn)單的輸液故障處置方法減少了護(hù)士上門(mén)輸液的重復(fù)率,減輕家庭輸液護(hù)士的工作壓力,提高了患者的滿意度。
由于該APP的數(shù)據(jù)不在本地存儲(chǔ),所以通過(guò)連接手機(jī)取證設(shè)備直接提取數(shù)據(jù)已經(jīng)無(wú)法達(dá)到目的。結(jié)合上文中介紹的特點(diǎn),分為幾種情況進(jìn)行了數(shù)據(jù)提取。
在禁止嫌疑人手機(jī)聯(lián)網(wǎng)的情況下,對(duì)手機(jī)中Secret軟件中的數(shù)據(jù)進(jìn)行歸檔,將歸檔的數(shù)據(jù)導(dǎo)出到電腦中備份,然后在一部干凈的測(cè)試手機(jī)中導(dǎo)入歸檔數(shù)據(jù),對(duì)測(cè)試手機(jī)聯(lián)網(wǎng)進(jìn)行下載音、視頻文件、圖片文件到手機(jī)中,然后利用常規(guī)的手機(jī)取證軟件對(duì)測(cè)試手機(jī)進(jìn)行取證。這種取證方式適合提取音視頻文件或者圖片,如果文字較多則不適合。
因?yàn)槲凑莆誗ecret軟件的登錄密碼,就無(wú)法通過(guò)歸檔數(shù)據(jù),在其他終端設(shè)備上以恢復(fù)歸檔數(shù)據(jù)的方式來(lái)獲取數(shù)據(jù)。這種情況下,首先對(duì)手機(jī)提取鏡像文件,備份手機(jī)中的原始數(shù)據(jù)。接下來(lái)有三種方式提取:(1)查看手機(jī)中是否保存有Secret密碼,如果有則按照上一段介紹的方式進(jìn)行操作;(2)查看手機(jī)中Secret登錄帳號(hào)的郵箱地址,查看手機(jī)中是否有該郵箱的密碼,如果有則可以通過(guò)Secret密碼找回的方式,更改Secret密碼,然后按照上一段介紹的方式進(jìn)行提??;(3)使用傳統(tǒng)拍照方法進(jìn)行數(shù)據(jù)提取。
這種情況下,因?yàn)闊o(wú)法登錄帳號(hào),且數(shù)據(jù)存儲(chǔ)在云端,即使在退出的時(shí)候沒(méi)有刪除數(shù)據(jù),如果不聯(lián)網(wǎng)則無(wú)法提取數(shù)據(jù)。
這種情況下,如果是Android版的移動(dòng)終端,則可以通過(guò)郵箱和密碼的方式登錄后再斷網(wǎng),然后通過(guò)第(一)部分介紹的方法進(jìn)行數(shù)據(jù)提取。這種聯(lián)網(wǎng)提取數(shù)據(jù)的方法有可能造成被設(shè)備接收的數(shù)據(jù)被刪除。
上面介紹的四種提取方式,也可以使用流程圖表示,如圖2所示。
環(huán)境:測(cè)試手機(jī)品牌HUAWEI,測(cè)試手機(jī)型號(hào)Mate 20,操作系統(tǒng)Android 9。
由于該軟件的數(shù)據(jù)不存儲(chǔ)在本地,如果想提取該軟件上的數(shù)據(jù),就需要人工參與進(jìn)行處理。
(1)該軟件可以通過(guò)歸檔的方式將軟件中的文字類型數(shù)據(jù)進(jìn)行備份,自動(dòng)保存在設(shè)備中的“Download”文件夾。歸檔的文件命名格式為“Secret+用戶名帳號(hào)+日期時(shí)間”,后綴名為“設(shè)備類型(Android or iOS)_wbu”,本例中數(shù)據(jù)歸檔的文件名為“Secret-zhangqiang6539-Backup_202109232125.android_wbu”。然后在其他同類型的設(shè)備上進(jìn)行數(shù)據(jù)恢復(fù),如圖3、圖4所示。
(2)如果提取的是文字聊天記錄,只有通過(guò)截屏方式將聊天記錄進(jìn)行截圖,自動(dòng)保存到設(shè)備“Pictures/Screenshots”文件夾內(nèi),命名格式為“Screenshot+日期+時(shí)間”,后綴名為“jsy_secret”,本文中其中一個(gè)截圖的命名為“Screenshot_20210930_094010_com.jsy.secret”,如圖5、圖6所示。
(3)如果是圖片、視頻或者語(yǔ)音數(shù)據(jù),可以通過(guò)聯(lián)網(wǎng)進(jìn)行下載到本地手機(jī)中進(jìn)行提取。注意,通過(guò)下載數(shù)據(jù)的方式進(jìn)行提取,需要連接互聯(lián)網(wǎng),前提是需要在原始嫌疑人手機(jī)中進(jìn)行歸檔,然后在測(cè)試手機(jī)中進(jìn)行操作。下載的文件保存在設(shè)備中的“Downloads”,如圖7、圖8所示。
本文通過(guò)分析Secret軟件的特點(diǎn)和功能,介紹了四種提取數(shù)據(jù)的方式,此四種方法比較適合圖片、視頻、音頻等資料較多的案例。如果文字較多,則效果不顯著。前三種方式是在禁止移動(dòng)終端聯(lián)網(wǎng)的情況下提取數(shù)據(jù),第四種是可以短暫聯(lián)網(wǎng)的情況下提取數(shù)據(jù)。本文中的案例進(jìn)行了脫密處理,方法過(guò)程和實(shí)際案例的提取方法、過(guò)程都一樣。由于Secret軟件的數(shù)據(jù)不存儲(chǔ)在本地,所有傳統(tǒng)的使用取證設(shè)備提取數(shù)據(jù)的方式是不適用的。在本文中提到的提取方式,只要Secret軟件處于登錄狀態(tài),不管是否能聯(lián)網(wǎng)或者是否知道密碼,都可以通過(guò)相機(jī)拍照的方式提取數(shù)據(jù)。
該Secret軟件是境外的一種即時(shí)聊天軟件,在處理國(guó)家安全方面的案例中有時(shí)會(huì)遇到。通過(guò)本文介紹的數(shù)據(jù)提取方法,一線民警在遇到此類軟件時(shí),希望能提供一些參考和幫助。