研究：全美逾2,000個執法機構購買並使用可破解手機的鑑識工具

專門尋求科技正義的非營利組織Upturn近日發表一研究報告，指出美國有超過2,000個執法機構購買並使用了可用來破解手機的行動裝置鑑識工具（Mobile Device Forensic Tools，MDFTs），憂心這些工具的普及將嚴重威脅美國民眾的隱私，呼籲政府應該限制相關工具的使用。

Upturn是在去年與今年向美國各州與地方的執法機構提交了逾110項的公開紀錄請求，發現至少有2,000個執法機構已添購了由行動裝置鑑識供應商所提供的產品及服務，這些執法機構遍布美國50個州與哥倫比亞特區，而且美國最大的50個警察部門皆已添購，或是曾存取這些工具，除了警察部門以外，還有數十個檢察官與警長辦公室是MDFTs的買家，這些機構在最近這5年已闖入數十萬支手機。

來自不同供應商的行動裝置鑑識工具主要有三大功能，一是能繞過手機的安全機制；其次是複製裝置中所有的資料，從通訊錄、照片、影片、所儲存的密碼、GPS紀錄到手機使用紀錄等，有些甚至還能複製已被刪除的資料；它們也具備搜尋與分析功能，以快速找到所需的資料。

美國最高法院曾在2014年裁決，警方無理搜查所逮捕嫌犯的手機是違憲的，因此現在美國執法機構都必須取得法院的搜索票，才能取得嫌犯的手機內容，然而，Upturn認為，MDFTs的廣泛使用暗示著，執法機構也許是在違背民眾的意願或是未取得明確同意下進行搜索的。

根據Upturn所描述的場景，在警方逮到一名嫌犯時，可能會要求他同意警方搜索手機以證明自己的清白，亦說若不同意警方也會向法官申請搜索票，許多人是在這樣的壓力下勉強同意，繼之警方就帶走手機並以MDFTs進行搜索。就算該嫌犯是清白的，但警方也得以檢查無辜民眾的通訊紀錄、照片、搜尋歷史紀錄，最終建立民眾的個人檔案，而民眾並不真的知道他們完全交出了自己的隱私。

調查顯示，MDFTs幾乎能夠破解所有的熱門手機並複製手機資料，一方面是因為執法機構通常會購買不同品牌的MDFTs以力求支援所有手機的破解，再者，其中一家供應商更曾廣告可解鎖與汲取從iPhone 4S到iPhone 11/Pro / Max的iPhone手機，更別說是低階的Android手機了。

當有些MDFTs無法暴力破解手機密碼時，它們還會提供其它的途徑，像是在手機上安裝間諜程式，以側錄使用者所輸入的密碼等。

總之，Upturn認為MDFTs對警方而言是個過於強大的工具，不應被如此輕易的取得與使用，建議美國應該要禁止對行動裝置的同意搜索，制定健全的資料移除與密封要求，也應該要公開紀錄執法用途。