来自格拉斯哥大学的研究人员发现,云存储应用在向云端发送文件之外还会在设备中留下可恢复的文件版本。这些文件并非对所有人可见,但专门收集有用资源的法庭调查人员或其它抱有特殊目的的家伙仍然有办法将它们还原出来。
在第46届夏威夷国际系统科学大会上,一篇名为《云存储服务令智能手机成为法庭证物代理》的论文详细阐述了哪些数据会被保留在手机中。这一结果是由George Grispos、William Bradley Glisson以及Tim Storer共同发现的。
在论文中,几位作者介绍了自己如何对采用iOS 3的iPhone 3G以及运行Android 2.1的HTC Desire两款手机进行硬重置。这些手机都安装有Dropbox(其中iOS版本为1.4.7,Android版本为2.1.3),Box(iOS版本为2.7.1,Android版本为1.6.7)以及SugarSync(iOS版本为3.0,Android版本为3.6)。他们在每台设备上创建出20个文件,格式包括JPG、DOC、PDF、MP3以及MP4.其中某些文件被打开或加以编辑,有些则始终保持原状。接下来,作者对手机进行了“以下几种操作方式之一”:
活动电源状态——智能手机并未被彻底关闭,而应用程序缓存也没有被清除;
缓存清除——应用程序缓存被清除;
电源关闭——智能手机被彻底关闭;
缓存清除且电源被彻底关闭。
手机随后被“处理以在内部记忆体中创建取证转储机制。”就在此时,研究人员发现了散落于设备各处的大量文件。
大家可以点击此处查看详细的检测信息,不过总而言之,HTC Deisre的SD卡与iPhone的主存储系统中都出现了残留文件。这些原本应当被上传至云端并被云服务应用彻底清除的内容仍然以某种形式存在于手机当中。
两款手机甚至保留了上传至Box端的项目的独特文件ID数字——所谓文件ID数字,是指一套专门用于该服务及对应URL的身份验证口令。总之,“这些信息可以合并到重建的URL当中,这将导致与文件相关的ZBOXID进行下载操作。”
这篇论文由此得出以下结论:
“本研究的结果表明,智能手机设备在访问云存储设备之后可能会继续保留包含保存在云存储服务中的数据代理视图。在某些情况下,对这些设备中的数据进行恢复允许使用者对保存在云存储账户下的数据发起进一步访问。从客户端的角度来看,这一机制有可能在不访问数据提供者的前提下显示部分数据视图。对此类证据的恢复工作需要两大因素。首先,云存储应用必须曾被用于显示云端数据;其次,用户并没有尝试针对最近查看过的文件进行缓存清除操作。”
这篇论文同时指出,要得出更确切的结论还需要做进一步研究。因为云存储的重点在于从多台设备发起访问,所以设备的安全性就变得非常重要。
需要进行更多研究的说法比较明智,因为作者使用的应用程序版本确实比较陈旧。举例来说,目前新版本iOS上使用Dropbox已经为2.1.3版,这与分析过程中所使用的1.4.7版本相比应该存在诸多改进。
几位作者已经制定了长期规划,打算再做进一步研究并最终“提出安全防护措施,以帮助云服务供应商及智能手机用户降低潜在的数据泄漏风险。”