网红香蕉机遭遇取证突破

案例

随笔

知识

声音

其他

编者按+前沿通报系列

Nokia 8110就是坊间戏称的网红香蕉机，硬件资源虽比真正的功能机强，但性能仍十分局促，手机应用均基于html5开发，也是醉了。

因为市场较小且独特，鲜有执法部门关注。虽说是老人机，可谁能保证老人不犯罪、不犯错呢？幸好小编有个朋友对此有一些研究，还取得了一些意外突破。

第一个取证障碍

HMD公司成立于2016年5月，总部设在芬兰，公司总裁和首席执行官均为原诺基亚高管。HMD已经获得诺基亚手机和平板电脑品牌的十年授权。

然而第一个问题出现了：HMD并没有公开Nokia 8110 4G的调试接口，设置里面也找不到开启调试选项。难道开发者就只能放在手心把玩，不能插线深入了解么？

俄罗斯高手打破壁垒

来自俄罗斯的Luxferre打破了这层壁垒。他通过“导航上”+关机键组合按钮进入KaiOS Recovery。

此时他留意到，recovery日志中有一串字符串“MMB29M … 6.0.1 … test-keys”，于是大胆推测，整个系统的签名密钥来自公开的Android Open Source Project（AOSP） 6.0.1_r3源代码分支。

事实上，他猜对了。

有了签名密钥，下一步就是制作基于busybox + ash脚本的OTA升级包（update.zip）了。Luxferre首先通过自制OTA升级包，把system分区（/dev/block/bootdevice/by-name/system）dump到SD卡；分析dump出来的分区内容后，再自制另一个OTA升级包（见文章最后网盘里面的smith.zip），修改“/system/b2g/defaults/settings.json”，把“developer.menu.enabled”和“debug.console.enabled”均设置为true。重启后，Nokia 8110 4G的设置里面终于有了调试相关的选项。

完善和简化突破方法

过了一段时间后，Luxferre发现了一个更加简洁的开启adb调试模式，并且无需修改system分区设置文件：通过输入手机指令“*#*#33284#*#* 即可。”

小编友情提示：*#*#debug#*#*，看看数字和字符的对应关系，大家破解密码的时候可以考虑。

友情提示：dump整个EMMC连续遭遇大坑

在看完Luxferre的文章后，笔者第一反映，竟然想起了山寨功能机横行年代的时候，IMEI全为0的奇葩情况。毕竟现在一大批安卓山寨机也是test-keys横行，装个系统级别的恶意软件简直易如反掌。想不到现在Nokia也会这样子…….

既然Luxferre可以dump system分区，而且还公开了OTA升级包签名制作工具（见文章最后网盘里面的stockerize.zip），那按照他的思路，整个EMMC存储也可以dump出来吧？结果笔者在这里跌了不少坑，归纳起来有：

（A）recovery中，fstab挂载配置文件写死了SD卡只能以vfat格式（也就是FAT32格式）挂载，不能使用ext4格式。

（B）由于（A），单个文件不能超过4G（FAT32格式限制）。

（C）若在编译阶段busybox没有指定支持大文件选项，则在某些情况下，busybox无法处理大于2GB的文件。

在多次尝试失败后，笔者终于通过分批dump的方式解决了相关问题，顺利把整个EMMC存储dump到sd卡；然后在电脑上，使用cat命令将几个分块文件合并成一个大文件 emmc_bak.file，合并后的文件可以用7-zip打开做进一步的系统分析。

（文件合并命令如下：“cat emmc.0 emmc.1 emmc.2 > emmc_bak.file” ）

（测试dump emmc的时候所执行的命令）

相关脚本，请参阅dump-emmc-full.sh和dump-only-system-part.sh，下载地址:https://pan.baidu.com/s/1rdH3BagpPTfAk7cMthSzqg,密码：3a4r。

（dump出来的整个EMMC存储内容，和system分区文件）

小编强烈提醒：Nokia也算是手机界的鼻祖级企业了，依然犯了如此低级的错误：使用公开测试密钥来签名操作系统。这与华住集团的软件开发人员，把数据库连接参数放到Github上何其相似？！

一言以蔽之，任何的高大上，都有下水道级别的漏洞，只要你肯去发现……

---

请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号，了解犯罪手段、侦查技术、办案心得，做到自我提升、自我救赎！

原文始发于微信公众号（信息时代的犯罪侦查）：网红香蕉机遭遇取证突破