美国执法部门搜查手机的广泛权力

“我们只想检查您的电话，看看您是否在那儿。”

您知道自己不在7-11，而是两周没去过那里。您不希望警察搜寻您的电话，但您感到巨大的压力。 “如果您不同意我们的同意，我们只会去做个判决以获得搜查令-您是否真的想让我们艰难地解决这个问题？”您知道他们什么也找不到，所以您放心了。您迅速签署一份表格，然后警察带走您的电话。

接下来发生的事情是在警察局的一间密室里进行的。在几个小时内，警察几乎追踪了您到过的所有地方，查看了您所有的短信，视频和照片，并通过您的Google搜索记录进行了搜索，建立了一个非常详细的个人资料。本报告旨在阐明那些在警察后厅发生的情况。 1个

每天，全国各地的执法机构都会搜索成千上万的手机，这些手机通常是被捕的。通常，这些搜索是违反人们的意愿或未经有意义的同意而进行的。对于搜索电话，执法机构使用移动设备取证工具（MDFT），这项功能强大的技术可让警察从手机中提取数据的完整副本-所有电子邮件，文本，照片，位置，应用程序数据等，然后可以以编程方式进行搜索。 2通过将手机与取证工具进行物理连接，执法人员可以提取，分析和显示存储在手机上的数据。 3正如一位专家所说，随着当今智能手机上存储的大量敏感信息，MDFT提供了“灵魂之窗”。 4

美国各地的各种规模的执法机构已经购买了价值数千万美元的移动设备取证工具。执法部门使用的移动设备取证工具具有三个关键功能。首先，这些工具使执法人员能够从手机访问和提取大量信息。其次，该工具将提取的数据以易于浏览和易于消化的格式进行组织，以便执法部门更有效地分析和浏览数据。第三，这些工具可帮助执法机构规避大多数安全功能，以便复制数据。

美国各地各种规模的执法机构已经购买了价值数千万美元的移动设备取证工具。

移动设备取证工具的激增和发展在很大程度上反映了智能手机在美国的普及。2011年，只有35％的美国人拥有智能手机。 5如今，至少有81％的美国人。 6此外，许多美国人，尤其是有色人种和低收入者，仅依靠手机来连接互联网。 7对于执法部门，“ [移动电话仍然是调查中最常用和最重要的数字资源。” 8在许多方面，移动设备取证工具已经以社区罕见的方式帮助极大地扩展了警察的权力。

2014年，最高法院裁定Riley诉California一案，认为对逮捕事件中的手机进行无理搜查是违宪的。 9结果，今天的执法部门需要搜查手机的搜查令。 10自从做出这一具有里程碑意义的决定以来，围绕手机证据的公开辩论主要集中在因加密而导致执法人员无法访问手机内容的罕见案件中。例如，在2015年备受瞩目的圣贝纳迪诺射击11之后，以及最近在彭萨科拉海军航空站进行的致命射击之后。 12

但是，公众对这些罕见的，备受关注的案件非常关注，在这些案件中，执法人员无法访问电话的内容，这掩盖了更为重大的变化：执法人员搜索范围广泛的案件中可以访问的数千部电话的能力不断提高。 ，以及在常规和轻松访问人们最敏感的数据时赋予警察的权力。

在整个2019年和2020年，Upturn向州和地方执法机构提交了110多项公共记录请求，以确定哪些机构可以使用移动设备取证工具，以及如何使用它们。一些人提出了“从手机中提取数据的技术”。 。 。 13州政府和地方警察部门买不起的东西，或者说这种技术“成本高昂，除了少数地方执法机构之外，其他所有国家都如此。” 14

但是我们的研究却讲述了一个不同的故事。我们的记录显示，至少有2,000家代理商购买了移动设备取证工具供应商提供的一系列产品和服务。所有50个州和哥伦比亚特区的执法机构都有这些工具。 50个最大的警察部门中的每个部门都已购买或可以轻松使用移动设备取证工具。数十个地方检察官和警长办公室也购买了它们。许多人通过各种联邦赠款计划做到了这一点。即使部门本身尚未购买该技术，由于有了合作关系，信息亭程序以及与包括FBI在内的大型执法机构的共享协议，大多数（即使不是全部）技术也很容易获得。

尽管这些工具广泛使用，但几乎没有公开说明执法部门使用这些工具的频率或情况。这些工具的秘密使用还意味着很少有公众讨论这些工具的风险以及它们如何将权力转移给警察。

执法部门使用移动设备取证工具作为针对各种案件的多功能调查工具。

我们通过公共记录请求获得的记录表明，执法部门将移动设备取证工具用作针对各种案件的多功能调查工具。执法人员不仅使用这些工具来调查涉及重大伤害的案件，而且还调查涉嫌偷窃，入店行窃，吸纳大麻，卖淫，故意破坏，车祸，违反假释，小偷小摸，公共陶醉以及与毒品有关的犯罪的全部范围。很少部门会制定详细的政策来管理人员如何以及何时使用此技术。大多数人要么没有起到什么作用，要么根本就没有政治。

该报告进行如下。在第2节中，我们描述了移动设备取证工具的精确技术功能。在此技术背景下，我们将在第3节中追溯全国各地执法机构广泛使用的移动设备取证工具。接下来，在第4节中，我们将展示常规使用这些工具的方式，即使对于最普通的情况。在第5节中，我们解释了这些用途的不受限制的性质，尤其是由于大多数机构都没有具体的政策。最后，我们在第6节中为州和地方政策制定者提供政策建议。

这份报告不仅试图更好地向公众通报执法部门对手机数据的访问方式，而且还希望就执法部门如何使用这些工具加强警力并加剧种族不平等现象进行对话。

自本报告发布以来，我们正在起诉NYPD，以获取有关该部门使用移动设备取证技术的记录。 Shearman＆amp; Sterling，LLP和监视技术监督项目（S.T.O.P.）会无偿代表Upturn。 NYPD辩称，“在回应[Upturn's FOIL Request]时，不应“要求他们主动损害其调查能力”，“寻求信息，如果披露，将损害这些供应商的持续业务活动，”并且“确认潜在的Upturn的需求范围将淹没NYPD的FOIL响应能力。”请参阅NYPDM法律备忘录，以支持其经验证的法律要点和反对意见，2020年9月4日，索引号162380/2019 Doc。 21.↩

我们从美国国家标准技术研究院借用总称“移动设备取证工具”。其他人则使用了不同的术语，例如“手机提取工具”，“移动设备获取工具”，“手机黑客工具”和“手机破解工具”。我们使用“移动设备取证工具”作为网络工具，这是最准确的术语。请参阅NIST，《移动安全和取证》，网址为https://csrc.nist.gov/Projects/Mobile-Security-and-Forensics/Mobile-Forensics。（“当移动设备涉及犯罪或其他事件时，取证专家需要可以正确检索和快速检查设备上存在的信息的工具。许多现有的商业现货（COTS）和开源产品为法医专家提供了这种功能。”）

有各种各样的工具可以满足这些目的：一些工作可以在所有流行的电话上轻松获得数据，有些则是为特定的系统或电话量身定制的。有些可以按警察的意愿购买和使用，而另一些则按使用次数收费，或者只能使用多次。 ↩

厘米。 “迈克”亚当斯，“数字取证：通向灵魂的窗口”，取证，2019年6月10日，网址为https://www.forensicmag.com/518341-Digital-Forensics-Window-Into-the-Soul/

美国人口普查局美国商务，经济与统计管理局的Camille Ryan，“美国的计算机和互联网使用情况：2016年”，《美国社区调查报告》，2018年8月； Jamie M.Lewis，手持设备所有权：减少数字鸿沟？，2017年3月，https://www.census.gov/library/working-papers/2017/demo/SEHSD-WP2017-04.html。 ↩

Riley v.California，573 U.S. 373（2014）。在这种情况下，警察在逮捕了两个人的手机后对其进行了搜查：2009年8月，戴维·赖利（David Riley）驾着过期的登记标签开了车； 2007年9月，布里玛·乌里（Brima Wurie）涉嫌进行毒品销售。在这两种情况下，警察首先都是在派出所手动检查电话-滚动查看联系人列表，并浏览视频和图片。警方未获得搜查任何一部手机的警告。参见People v.Riley，D059840（Cal.Ct.App.2013年2月8日）https://casetext.com/case/people-v-riley-263;美国诉Wurie案，728 F.3d 1（2013年1月1日）https://casetext.com/case/united-states-v-wurie-4。 ↩

司法部试图迫使苹果公司（并由联邦法院下令）提供技术协助，以解锁枪手使用的iPhone。在BlackLexus IS300上执行搜索认股权证期间扣押的AppleiPhone的搜索事项中，订购令人信服的Apple，Inc.协助代理商inSearch，2016年2月16日，网址为https://assets.documentcloud.org/文件/2714001/SB-Shooter-Order-Compelling-Apple-Asst-iPhone.pdf。 ↩

司法部长威廉·巴尔（William Barr）公开呼吁苹果帮助解开枪手使用的两部手机。参见凯蒂·本纳（Katie Benner）的文章《巴尔要求苹果解锁彭萨科拉杀手的电话，设置冲突》，《纽约时报》，2020年1月13日，网址为https://www.nytimes.com/2020/01/13/us/politics/ pensacola-shooting-iphones.html。司法部最近还举行了一次关于获取数字设备证据的座谈会，题为“无法律保护的空间：防伪加密及其对儿童剥削案例的影响”。参见https://www.justice.gov/olp/lawless-spaces-warrant-proof-encryption-and-its-impact-child-exploitation-cases。 ↩

威廉·卡特（William），卡特（Carter），珍妮弗·达斯卡尔（Jennifer Daskal），垂头丧气：基于证据的数字证据挑战解决方案，战略与研究中心国际研究，2018年7月，12。

纽约县地方检察官Cyrus R.Vance，Jr.，美国参议院司法委员会关于智能手机加密和公共安全的书面证词，“智能手机加密和公共安全”，华盛顿特区，2019年12月10日，https：//www.dcs.com。 judiciary.senate.gov/imo/media/doc/Vance%20Testimony.pdf

我们首先介绍移动设备取证工具（MDFT）的工作原理，并解释其在数据提取，数据分析和安全规避方面的功能。 15我们的技术分析涉及三个关键点：

MDFT旨在复制手机上常见的所有数据。移动设备取证工具旨在提取可能的最大信息量。这包括联系人，照片，视频，保存的密码，GPS记录，电话使用记录，甚至“已删除”数据之类的数据。

MDFT使执法人员可以轻松分析和搜索从电话复制的数据。一系列功能可帮助执法人员快速筛选千兆字节的数据-否则，这将需要大量工作。这包括通过GPS数据映射某人去过的地方，搜索特定的关键字以及使用图像分类工具搜索图像。

尽管诸如设备加密之类的安全功能已经引起了公众的广泛关注，但是MDFT可以绕开大多数安全功能来复制数据。由于具有安全漏洞或设计缺陷的手机种类繁多，因此接入挑战通常可以克服。即使在由于安全功能而难以进行全面取证访问的情况下，移动设备取证工具通常仍可以从电话中提取有意义的数据。

我们的调查结果表明，当今的移动设备取证工具可以从大多数手机中提取数据，并表示执法部门的调查权力有危险的扩展。

MDFT提供了对电话中个人信息的全面访问，从而实现了“某种程度的监视，而在以前，监视的范围本来会非常昂贵。” 16在许多情况下，与寻求证据的范围相比，这种获取方式可能会造成不成比例的侵害，并且对现有的《第四修正案》保护构成了惊人的挑战。我们的发现表明，当今的移动设备取证工具可以从大多数手机中提取数据，并代表着执法部门调查能力的危险扩展。

移动设备取证通常分为两个步骤：数据提取，然后进行分析。 MDFTs可以帮助执法部门实现目标。 17 MDFT是一种计算机程序及其补充设备（例如电缆，外部存储设备），可以复制和分析来自手机或其他移动设备的数据。 18该软件可以在常规台式计算机上运行，​​也可以在平板电脑或“ kiosk”计算机等专用设备上运行。这些工具由Cellebrite，Grayshift，MSAB，Magnet Forensics和AccessData等多家公司出售。

研究人员通过将电话插入计算机或平板电脑来启动提取过程。使用Cellebrite软件（与其他工具类似），一旦该工具识别出手机，19就会提示研究者选择要执行的提取类型，有时还选择要提取的数据的类别和时间范围，如图所示。图2.1和2.2。 20通常，为了提取数据，工具可能会利用安全漏洞或内置的诊断或开发工具来绕过手机的安全功能。

图2.1显示了Cellebrite通用取证设备（UFED）的初始用户界面屏幕之一。 “选择提取类型”屏幕提供提取类型和设备解锁的各种选项。 21

图2.2显示了Cellebrite UFED用户界面的“ SelectContent Type”屏幕，用户可以在其中选择要从电话的内部存储器，SIM卡和/或存储卡中提取的数据类别。有一个方便的选项可以选择“所有”类别。 22

手动提取是指调查人员像普通电话用户一样查看电话内容的时间。通常，调查人员会拍摄屏幕上的照片或屏幕快照，通过电话将数据发送给自己，或对他们的电话内容进行录像，以证明实际上是在电话上找到的。此过程可能会损害数据完整性，因为它可能会在电话上留下新的使用痕迹。 24

逻辑提取可通过手动提取使可以合并的对象自动化。换句话说，它使用设备的应用程序编程接口（API）自动提取电话上显示给用户的数据。 25逻辑提取就像从餐厅订购食物：您只能买到菜单上的食物，而服务员（API）负责食物的交付和组织。 26

文件系统提取类似于逻辑提取，但它复制的数据甚至更多，例如电话通常不会显示给用户的文件或其他数据（例如内部数据库）。继续以餐厅为类比，这类似于向厨师询问菜单之外的特定秘密菜肴，这在某些餐厅是可能的，但在其他餐厅则不可以。

物理提取会按照物理存储在电话硬件上的方式复制数据，换句话说，是逐位复制数据，而不是作为不同的文件。必须将此数据重组为文件，任何人都可以理解。物理提取就像去餐厅然后潜入厨房以直接将食物拿走一样，就像厨房中存在的食物一样—等待带出的菜单项，用于准备食物的成分，甚至是垃圾桶中的食物-未经服务人员调解。

从本质上讲，要从设备提取数据，某些方法可以使用手机的内置功能，而其他方法则可以使用它们。规避电话的内置功能通常需要更多的数据访问权限，但是任何提取方法都可能具有侵入性，因为人们在手机上存储了多少数据。 27

提取后，执法人员使用MDFT来有效地分析数据-毕竟，如果无法有效搜索，则复制千兆字节的电话​​数据的能力就不那么有价值了。例如，执法部门可以按创建时间和日期，按位置，按文件或媒体类型或按源应用程序对数据进行排序。他们还可以在整个电话中搜索关键术语，就像您可以使用Google搜索网络一样。这意味着警察可以从电话上的不同应用程序中提取数据，并按时间顺序将它们一起查看。这也意味着他们可以将所有图片从手机中拉到一个地方查看，而不管它们在手机上的组织方式如何。 28

现代手机是许多工具的便捷组合：它们是电话，相机，笔记本电脑，日记本，导航设备，网络浏览器等。智能手机将生活模式集中在具有无限存储空间的单个设备上。 MDFT允许执法人员访问所有这些数据以及更多数据，无论人们是否有意在手机上存储该信息。

智能手机摄影是侵入性MDFT的主要体现。人们不再受物理打印的限制，随便在手机上积累了数千张照片。 2017年，估计所有拍摄的照片中有85％是在智能手机上拍摄的，全球每年拍摄的照片数量已从2013年的6600亿增至2017年的1.2万亿美元，翻了一番。29个MDFT还从每个图像文件中提取嵌入式元数据，例如拍摄照片的GPS坐标，以及拍摄时间和日期。 30人们携带的照片不仅比没有智能手机的要多几个数量级，而且他们可能不知不觉地携带了他们运动的地理记录。

MDFT提取了千兆字节的数据，这些数据既是随随便便积累的，也出乎意料地揭示了出来。它们的核心实用程序是提取呼叫日志，联系人，文本对话和照片。但是，电话上存储的东西比这些明显的类别还多。在线帐户，第三方应用程序中的数据，“已删除”的数据，甚至人们与设备本身的精确交互都留下了人工制品，MDFT可以找到这些人工制品。通过这种“信息黄金矿” 31“可以重建个人私人生活的总和。” 32

几乎每个智能应用

......