原创作品，未经作者同意，严禁转载！

【摘要】随着智能穿戴电子市场的兴起，智能手表（手环）具备实时定位、接收消息、移动支付等多项实用功能，成为物联网移动智能终端。智能手表是新型电子证据之一。提取、收集涉案电子数据将成为日益明确的取证需求。应加强对此类装置取证要点和理念的探索和研究。

【关键词】智能手表电子数据取证

作为物联网移动智能终端之一，智能手表（手环）早已成为最受欢迎的智能穿戴设备。智能手表拥有CPU、内存、GPS等硬件模块，并内置操作系统。它们可以通过独立连接网络或与智能手机配对来实现多种功能。包括：手机内数据信息（电话、短信、邮件、照片、音乐等）同步推送、实时GPS定位、监测心率和运动轨迹等健身信息、移动支付等与手机或云存储空间等同步。功能强大的智能手表蕴藏着大量的用户信息，公安机关涉及的智能手表电子数据的提取和收集将成为日益明确的现实需求和研究证据收集技术的方向。

据相关统计，2018年全球可穿戴设备市场实现了15%以上的增长，总出货量超过1.3亿台。其中，以苹果为代表的智能手表出货量占据三分之一。智能手表等智能可穿戴设备市场预计未来5年混合年增长率为13.4%，2020年全球出货量将达到约2.2亿台。其中，支持蜂窝网络通信的第三代苹果自发布以来，已占据全球蜂窝网络智能手表59%的市场份额。考虑到各类功能型、运动型智能手表、手环的市场情况，小米（主要是小米手环）与苹果的份额相当（各占18%），苹果、华为、华为等品牌也有一定的份额。地方。

图1：2018年第一季度全球智能手表市场份额

智能手表中存储的通讯记录、支付记录、位置信息等重要的个人行为信息数据可以为案件的调查提供证据。存储的电子数据应当按照刑事证据的标准和要求提取、收集。

1、智能手表的技术背景

（一）智能手表主要类别

1.成人智能手表，具有蓝牙同步手机通话、收发短信、监测睡眠、监测心率、久坐提醒、跑步步数记录、远程拍照、音乐播放、视频录制、指南针等功能，主要面向时尚人群、商务人士、运动爱好者。

2、老年人智能手表拥有超精准GPS定位、家人通话、紧急呼叫、心率监测、久坐提醒、用药提醒等多项专为老年人定制的功能。主要用于防止老人走失。

3、儿童定位智能手表具有多重定位、双向呼叫、SOS、远程监控、智能防丢、历史轨迹、电子围栏、计步器、爱心奖励等功能，主要用于家长与孩子之间的沟通。儿童，并防止儿童行走。离开。

其中，成人智能手表存储的信息量最大，两者都需要与智能手机配对，通过蓝牙将手机中的数据同步到手表上，实现信息推送；老年人智能手表和儿童定位智能手表的共同特点是：通过插入手机SIM卡实现网络定位，但其机身存储的数据较少。

图2：苹果、米兔儿童定位手表、小米手环

（二）智能手表的功能特点

除了老人智能手表、儿童定位智能手表的实时定位、语音通话、运动计步等功能外，以苹果为代表的成人智能手表还可以通过与智能手表的蓝牙配对，接收手机接收到的各种推送通知。消息（如短信、微信、来电等），即使不与智能手机配对，智能手表仍然可以执行多种功能。

1.时间功能。除了正常显示全球标准时间外，您还可以设置闹钟和计时器，以及查看下载的日历事件。

2. 记录您的锻炼情况。当用户跑步时，智能手表会跟踪记录心率、步数、站坐比例、呼吸等健身数据，并在身体存储中保存最近30天左右的数据。

3、移动支付。通过绑定支付账户，智能手表可以显示支付二维码，实现微信、支付宝、Pay等平台的移动支付。

4. 播放音乐。将下载的音乐同步到智能手表上进行播放，尤其是在运动过程中快速控制音乐。

5.展示照片。照片可以同步到智能手表并用作照片查看器。

6. 连接到互联网。 3连接中国移动、中国联通、中国电信的网络，不仅可以直接访问手表上所有需要互联网连接的应用程序，还支持拨打电话、发送消息、地图导航、语音助手、并访问第三方应用程序。

7. 连接至 WiFi 热点。比如苹果第三代就带有WiFi模块，可以直接连接互联网进行访问。

8. 运行独立的第三方应用程序。例如，苹果可以运行基于和独立的两类第三方应用程序。前者需要与手机配对才能运行，且仅包含应用程序的界面，而后者无需配对手机即可继续运行。以苹果为代表的独立运行第三方应用的智能手表应该是电子数据取证的重要关注点。

(3)智能手表的数据容量

以苹果为例，运动版、标准版、高级版的硬件配置均为8Gb运行内存和8Gb存储空间。这8Gb的存储空间有一半以上被系统和内置程序占用。实际可用于多媒体存储的空间只有2Gb。可以存储大约200-500首歌曲或100多张照片。一些支持外置存储卡的智能手表还可以通过插卡扩展8-64Gb容量。

（四）智能手表取证案例

2016年9月，澳大利亚阿德莱德发生一起凶杀案。事发当晚，邻居发现57岁的米尔娜死在家中洗衣房里。米尔娜的儿媳卡罗琳在现场被绑在厨房里。据死者儿媳卡罗琳称，这是一起入室盗窃和凶杀案。案发当天，一伙歹徒尾随死者及其家。其中一名歹徒杀死了死者，另一名歹徒将她绑起来逃跑。但警方从死者佩戴的电子数据中发现，死者最后一次心率记录时间比卡罗琳所说的犯罪时间早了3个小时，这意味着卡罗琳涉嫌作伪证。据此，检察官认为，三个小时的时间足以清理、丢弃血迹斑斑的衣服和捏造犯罪现场，因此不接受卡罗琳的证词，判断她涉嫌组织、参与谋杀和捏造事实。案件。

同样，2015年，来自美国康涅狄格州的男子理查德报了警，声称自己遭到入室盗窃。歹徒将理查德捆绑后，理查德的妻子康妮外出后回到家中。歹徒开枪打死康妮后逃跑了。然而，警方分析了死者康妮佩戴的智能手环中的运动步数记录，发现死者所走的步数与理查德所说的从外出地点应走的步数严重不符。 ;同时，警方结合死者的电子邮件、手机通讯、社交媒体记录以及现场车库门开关记录确定，死者案发时并没有像记者所说的那样回家，而是呆在家里。因此，判断记者理查德具有严重作案嫌疑。 。

上述案例说明，过去有些案件的发生时间可能只取决于目击者的证言，但在当今信息时代，人们身上的智能穿戴设备、智能家居设备可能会记录案件信息，哪怕只是一个案例信息。步。一小步、每一次心跳、轻轻的敲击声都可能成为案件的关键环节。

2. 智能手表的取证方法

为确保涉案智能手表内电子数据的完整性，侦查人员在现场勘查时应注意收缴与智能手表配对的智能手机。根据不同品牌、型号的智能手表的硬件和数据接口的不同，在提取和采集涉及的智能手表电子数据时，应根据实际情况选择相应的方法。

（1）通过手机配对取证

与智能手机配对是智能手表的常见功能，包括可以插入SIM卡拨打电话的电话型手表。它们都需要与相应的手机配对，并与手机进行数据交互和同步。交互方法通常在配对手机上相应的APP中实现。因此，可以考虑将智能手表中的数据同步到对应的手机APP中，然后利用手机取证设备对APP数据进行取证分析，从而间接获取手表中的数据。 。该方法主要适用于没有物理数据接口的智能手表，如苹果、Moto 360、小米手环等。

(2)通过机身数据接口取证

对于带有机身数据接口的智能手表，可以尝试直接通过数据线取证，或者通过表壳背面的触点连接USB数据线进行充电和数据传输。比如GEAK Pro表体上有标准的USB数据接口，可以通过数据线进行取证；例如，三星Gear 2的USB接口集成到相应的充电座中，充电座可以用作取证的数据线。另外，对于大多数表壳表面没有数据传输接口的智能手表，如果表壳内部有USB插针，可以尝试通过连接插针接口来读取数据。该方法主要通过智能手表本体的数据接口连接取证工作站，利用相应的取证软件对智能手表中存储的电子数据进行提取和分析。根据手表的不同品牌、型号和内置系统，应采用相应的提取方法。

1、物理提取法。国内智能手表大多采用MTK芯片。连接取证工作站后，可以通过手机取证工具直接获取手表芯片的完整图像并进行分析。该方法已在国产“好本”智能手表上成功实现。 [1]

2.逻辑抽取方法。对于物理无法提取的模型，可以通过获取智能手表操作系统的权限来进行逻辑提取取证。例如，对于一些基于Wear系统的手表型号，可以通过刷第三方闪存包或ROM来获得ROOT权限。在该操作权限下，可以提取比较全面的电子数据。

(3)拆解手表存储芯片取证

某些品牌和型号的智能手表使用与手机中使用的存储芯片类似的存储芯片。对于此类智能手表，可以直接拆解硬件获得存储芯片，并通过相应的设备对芯片中的电子数据进行物理提取和分析。这种方法可以从智能手表中获取最完整的数据，但困难在于智能手表的硬件集成度较高。内存芯片在拆解过程中很容易被损坏，这对取证人员的技术水平要求较高。目前业内有拆解GEAK Pro手表并成功提取芯片数据镜像文件的成功实践。

(4)收集智能手表外部存储卡上的证据

由于尺寸和技术的限制，一些国产小品牌智能手表的内存较小，需要外接存储卡来存储数据。此类智能手表中的大部分多媒体数据将存储在其外部存储卡上。可以使用相应的媒体取证方法来获取外部存储卡上的证据。

(5)从智能手表的SIM卡中获取证据

市场上的一些智能手表以能够独立拨打电话为卖点，例如儿童电话手表。这种手表可以单独插入SIM卡来拨打电话和发送短信。由此产生的通话记录和信息数据可以存储在SIM卡中。可以采用相应的手机取证方法对SIM卡进行取证。

(6)修复智能手表无法导出数据的问题

苹果等高端智能手表可以独立运行第三方应用程序。这些应用数据可以直接显示在手表屏幕上，但大部分无法导出。在这种情况下，应该通过拍摄屏幕的照片或视频来固定数据内容。

(7)通过无线连接对智能手表进行取证采集

智能手表通过蓝牙和 Wi-Fi 等无线方式与配对的智能手机进行通信和同步数据。大多数仍然使用较弱的加密机制，SSL 2.0。理论上可以使用专门的破解工具来暴力破解密码。如果能够破解，就可以获得手表和手机之间传输的信息。当前智能手​​表固件更新的加密还不够严格，这提供了将取证专用固件无线刷新到智能手表操作系统中的可能性。

(8)通过云备份数据从智能手表取证

目前主流智能手机厂商（如苹果、华为等）为用户提供免费的云同步功能以及云存储空间来存储同步数据。用户可以将重要数据（如通讯录、短信、相册、系统设置等）同步备份到云空间，并在需要时将这些数据恢复到手表中。因为这个功能非常方便快捷，所以大多数消费者都会选择使用，也是厂家推荐的方法。与手机配对的手表中的部分信息也会同步到云端。因此，云备份取证也是获取手表中数据的一种方式。一个有效的方法。

3、智能手表取证难

(1)智能手表加密锁

高端智能手表和智能手机一样，支持设置密码加密锁。以苹果为例，手表支持设置4位独立密码。如果连续5次密码输入错误，手表将被锁定至少1分钟，然后才能再次解锁。这种情况就导致了智能手表取证的解密、猜测等问题。

(2) 无法进行有线连接

出于体积小、外观美观等设计考虑，大多数智能手表没有数据传输的接口，充电通常采用无线方式完成。手表中的数据通过无线连接同步到手机。这种情况下，通过数据线连接取证的方法就不适用了。

(3) 手机与手表配对数据不一致

与智能手表相关的电子数据是通过配对的智能手机提取的。由于手机和手表不实时同步，手机和手表上的电子数据可能会不一致。需要对证据收集结果进行详细的分析和筛选。

(4)内部硬件结构复杂、拆解困难的智能手表

智能手表内部硬件集成度非常高，结构精致紧凑。如果采用拆解后读取芯片的取证方式，则在拆解过程中芯片很可能被损坏，这对取证人员拆解存储芯片的能力提出了很高的要求。此外，智能手表可能使用定制的存储芯片，可能无法直接提取数据。

(5)智能手表数据分析方法不明确

受计算能力和存储空间的限制，智能手表中的数据存储方式与手机中的数据存储方式并不完全相同，且大多数智能手表采用与智能手机不同的操作系统，因此解析智能手表数据比较困难。需要继续研究。

4、智能手表的取证意义

（一）收集案件证据

在各类刑事案件中，智能手表应根据案件的需要作为电子证据进行采集。提取电子数据可以为案件（如组织实施考试作弊案件）提供证据支持。有关部门和机构要密切跟踪核查和打击需要，做好相应的技术储备。

(2)提供参考线索信息

对于具有定位功能的老人智能手表和儿童智能手表，用户可以通过厂家提供的手机APP以地图方式查看定位轨迹。在一定条件或情况下，执法部门会与智能手表制造商联系沟通，获取相应信息作为线索参考。

（三）善用定位处理失踪人员警情

当遇到老人或儿童失踪的报警情况时，如果举报公民能够提供手机上显示的智能手表定位信息，警方就可以采用与取证相同的操作方法，了解定位信息并追赶。智能手表。在还有电力和信号之前迅速处理失踪人员情况。

结论

随着智能手表的功能不断增强，预计在不久的将来相关电子数据取证需求可能会越来越多。本文列出的要点旨在为取证奠定理论基础，为有效提取和收集涉案电子数据做好技术储备。

参考：

[1]赵L，康Y，郭L.等。入[J].以及，2018，43（1）：17-21。

[2] 赵璐，康艳荣，郭丽丽，等。智能手表电子取证方法研究[J].刑事技术，2018，43（1）：17-21。