MFSocket中文扫盲贴，Meiya Pico’s Surveillance Tool

从推特中文圈说起

推特的中文圈就像一锅“大杂烩”，什么内容都有，真假参半，前不久中文推又开始作妖了，不过估计这事放在内地也不给说的，一位推特主po出一张图片，其内容是被有关部门检查手机的图片，随后推特中文圈又传出小道消息说当局在检查人民手机，并猜测与香港近期反送中事件有关。

原图片（图片来源：Twitter）

乍一看图片内容很大嫌疑是属于造谣的那一类，但听起来很玄乎，好奇如果这件事是真的，那么这个MFSocket是个什么软件，怎么会有这么高权限？不过有趣的是没过多久该图片（原图发送，发送压缩图片不受影响）就被微信服务器过滤了（微信还是在时刻关注海外动态的），只有在私聊情况下才能收到图片，群聊会被过滤，当然，海外用户不受服务器影响。

原图已上传至Google Drive，点击图片跳转

第一步就是谷歌搜索MFSocket，发现都是一些零星的匹配网页，热词和搜索结果也基本是在问MFSocket是什么软件，其中反馈内容最多的站点是小米论坛，最早的帖子发布时间为2017年的7月14日，跟帖内容未能提供有用的信息。

MFSocket（图片来源：谷歌搜索）

中文搜索没有想要的信息，试着将搜索语言从切换成英文，这次搜到的反馈信息是说该软件为内地有关部门在做手机取证时使用的软件，同时还有一些专业的博客解说该软件。整理了一下有用的英文网页的信息，分三个部分来讲。

美亚柏科黑科技

软件的用途

根据官方介绍和相关博客的解答，该软件用于有关部门在做手机取证时使用，软件本身不具备联网上报功能，有安卓版本和iOS版本（企业签名），单独安装软件并不能起到完整的取证作用，也就是说还需要一套终端设备连接手机通过MFSocket来做资料储存（类似copy手机里所有的信息），MFSocket用于获取手机信息，具体如下：

通讯录
短信
日历
通话记录
记事本（便签）
位置信息
视频信息
程序列表
系统日志（如翻墙记录）
各类软件信息（包括QQ、微信、Telegram等常见软件）

上述列表功能详细分析可在Elliot Alderson发布的 MFSocket: A Chinese surveillance tool 上查看

MFSocket的安卓版本（非最新版本）安装打开后会自动断开网络连接（WiFi和数据同时断开，防止用户数据联网刷新），同时在较新的版本中，完成取证后退出程序会提示是否删除软件，相对之前的两个类型版本，该版本更加隐蔽，同时该版本加入混淆特性和多了四个二进制程序，可能存在root手机的功能（信息来源：GitHub/HiedaNaKan）

MFSocket安卓版本（图片来源：手机截图）

MFSocket的iOS版本签名由Beijing tianhengzhiye culture communicate co 提供（早前由ZIN I KO,TOV提供签名），由于iOS的安全性，所以MFSocket的iOS版没能做到像安卓版本一样的隐蔽性和稳定性，不排除出现概率性的异常情况。
a、iPhone手机取证过程会出现失败（可能出现数据被擦除); 
b、取证过程中导致iPhone手机故障（白苹果）.
MFSocket目前支持iOS10.0–13.1（编者按：由于iOS13.1正式版截止发稿时还未发布，所以这里应该是指iOS13Dev Beta2和Public Beta1）（资料来源：美亚柏科订阅号）。

MFSocket iOS版本(图片来源：Victor Gevers)

一个完整的取证过程所需要的时间并不多，最快可能几分钟就完成，具体时间还是要看机主手机资料的大小。

设备取证界面一 (图片来源：Victor Gevers)

取证界面二(图片来源：Victor Gevers)

谁是开发者？

推特用户名为Muyi Xiao的用户在6月21日的时候发推指出该软件（MFSocket)归厦门的一家名为美亚柏科信息股份有限公司（Meiya Pico）所拥有。

Muyi Xiao推特截图（图片来源：Twitter）

当然也可以通过其它方式来查看开发者是谁，比如，最简单的方法就是查看软件的签名，安卓软件包可在GitHub下载（编者按：GitHub上的软件包为被取证者提供，安卓版本共有4+9+1三种不同类型共14个样本可提供下载，而Koodous上目前一共有48个不同样本）

签名为meiya的MFSocket（图片来源：koodous）

签名为meiyapico的MFSocket（图片来源：koodous）

知道软件的开发者是美亚柏科后，在企查查搜索了这家公司什么来头，发现这家公司是全球电子数据取证行业两家上市企业之一，该公司在深交所上市，股票代码300188，产品构成有46.07%是做电子数据取证的。

企查查”美亚柏科“(图片来源：企查查）

厦门市美亚柏科信息股份有限公司成立于1999年，总部位于厦门软件园二期，主要服务于国内各级司法机关以及行政执法部门，是全球电子数据取证行业两家上市企业之一。

谁在使用?

使用者一般为政府相关部门或企业级别部门，理论上美亚柏科的部分产品是可以个人购买使用的，一般情况下政府相关部门不会无缘无故对路人取证，因为取证过程需要人力成本，只有在政治紧张的情况下，或者个体在内地社交网络上存在长期的政治错误倾向、存在海外资金支持的嫌疑、加入民间政治目的组织等行为才有可能会被要求手机取证。

比如豆友Bonnae在两岸关系紧张的情况下，转发了偏左或偏右的文章，因此引来没必要的追究责任（编者按：2017年10月份开始，内地开始强制网络实名制，所以基本在网络上的一言一语都可以被查询）。

名为Bonnae的豆友被请喝茶（图片来源：豆瓣）

今年6月份，网友Pancoast在品葱网发帖询问上海地区是否在查手机，查手机的出现或与香港反送中事件那边有关。

疑似021地区查手机（图片来源：品葱）

如何保护自己的数据隐私？

给出以下几点建议

1/iOS系统安全性比安卓系统的高，如果可以选择iOS；

2/避免安装带有VPN字样的App（可以使用像ssr或小火箭这类软件），通常情况下vpn字样的App软件会被优先”照顾”；

3/保持手机系统的最新版本，安卓用户可以将安装未知应用的功能关闭；

4/一些驻华外媒的记者会使用的方法就是买一部备用机，套上相同的外壳，在遇到被要求检查手机的时候将备用机给他们，以此瞒骗过去。当然这就是属于社会工程学的范畴了 ；

5/安卓用户已经获得root的用户，可以安装由HiedaNaKan开发的FuckMFS模块，该模块对目前所有收集到的MFSocket进行适配，当MFSocket取证时该模块会随机生成信息及应用列表返回国内白名单应用，启用该模块需要安装Xposed框架（安卓Q Beta 目前无法root，安卓P用户可以使用基于Magisk的EDXposed，安卓P以下的可以直接使用Xposed框架）。