如果UFED產品無法解鎖或提取裝置資料,Cellebrite針對執法單位還有另一個解決方案,Cellebrite Advanced Service(CAS)。CAS整個概念起源於2015年,一開始的考量是因為每月的產品更新,用戶的UFED產品線並不會取得最新的漏洞與破解資訊,另一個原因是因為有很多的漏洞尚處於zero-day vulnerability狀態,意味著它從產品發布的第一天開始就存在的。無論是來自OEM廠商,還是軟體在版本更新時,出現在市場的那一剎那,這些漏洞就已存在。因此,這些漏洞未被公開,也未被發現,軟體或硬體廠商也尚未提供安全修補。

一旦軟體或硬體廠商了解到漏洞的存在,有可能是透過研究單位或白帽駭客的提醒,最差的情況是在法庭上這些漏洞被揭露。當廠商開始試圖找到解決這個問題的方法時,它就變成了為 one-day vulnerability漏洞。

任何尚處於zero-day vulnerability的漏洞最適合透過Cellebrite Advanced Services來提供服務,主要原因是這些漏洞代表著高風險性,若由駭客取得,造成的損害則無法估計。為什麼UFED產品無法取得zero-day vulnerability漏洞,主要是避免這些漏洞被竊取的機會。全球現有11處CAS實驗室可提供服務,亞洲區的CAS實驗室在新加坡。

若是已被揭露或廠商已提供安全性修補程式的漏洞,Cellebrite透過每月更新把新的提取方式移植至UFED Touch 2和UFED 4PC等產品中,讓鑑識團隊在UFED上的投資持續保持優勢。例如Dirty Cow漏洞(CVE-2016-5195),只要是使用Linux核心的裝置,包含Android,皆可在本地端透過這個漏洞取得Root權限,而這個漏洞從2007年9月之後就存在,一直到2016年10月後被大量地使用,Google安全性修補在2016年12月發布(Android Security Bulletin—December 2016)。而Cellebrite的Advanced ADB提取方式,就是使用該漏洞來進行物理提取,該功能是在2017年3月提供給UFED 6.1之後的產品使用,能提取的手機必須是Android版本4.3與7.1之間,安全性修補程式必須是2016年11月之前。

圖一、CAS與漏洞生命週期概念

Cellebrite CAS服務可提供解鎖與提取服務,支援的產品清單可參考: https://www.cellebrite.com/en/advanced-services/