Антикриминалистика. Как защитить смартфон от извлечения данных. Часть 2

Антикриминалистика. Как защитить смартфон от извлечения данных. Часть 2

Эксплойт

Разблокировка по лицу

Насколько безопасна разблокировка по лицу? Мы не стали писать об этом в разделе про iPhone; в них используется система с достаточным уровнем технической безопасности. В смартфонах с Android производители устанавливают модули разблокировки по лицу, безопасность которых находится в пределах от «хорошо» до «тот же Smart Lock, вид сбоку». Так, в смартфонах Samsung есть режим, комбинирующий образ лица со сканированием радужной оболочки глаза; обмануть такую систему трехмерной моделью головы не удастся. Аналогичные системы стали появляться во флагманских устройствах Huawei, Xiaomi и многих других. В то же время в ряде устройств используются гораздо более примитивные системы, основанные или на фотографии с фронтальной камеры, или на двумерном фото с инфракрасного датчика. Обмануть такие системы вполне возможно, иногда — очень просто. Как правильно заметили в статье «Разблокировка по лицу — не лучшая идея», подход «Мой телефон умеет все то же, что и твой iPhone, — и стоит в десять раз меньше!» будет встречаться все чаще.

Особняком стоит правовой аспект разблокировки по лицу. В США был создан ряд прецедентов, регулирующих возможности полиции разблокировать устройство, сканируя лицо подозреваемого. Имеются как положительные (разрешение на разблокировку по лицу было выдано), так и отрицательные (разрешение не было выдано или было выдано неправомерно) прецеденты, и благодаря им установлены достаточно четкие правовые рамки, переходить которые полицейские в большинстве случаев не станут.

В то же время в России мы неоднократно слышали об историях, когда телефон «случайно» поворачивался в сторону задержанного, после чего «сам собой» разблокировался. Доказать, что телефон был разблокирован с нарушением правовых норм, в таких случаях очень тяжело: нательными камерами, как в США, российские полицейские пока не оснащены.

Использовать или не использовать разблокировку по лицу — вопрос открытый, и ответ на него лежит не только в технической области; решать в любом случае тебе. Автор этого текста такую возможность использует.

 


Безопасность небезопасного

А что можно сделать, если у тебя на руках откровенно «дырявый» телефон с разблокированным загрузчиком или перепрошитый ушлыми продавцами «китаец»? В этом случае говорить о серьезной безопасности, конечно, не приходится, но кое-что ты сделать все-таки сможешь.

Первый и самый простой вариант: у тебя на руках телефон, загрузчик которого разблокирован (например, предыдущим владельцем). Часто подобные ситуации осложняются тем, что на телефоне установлена кастомная прошивка, есть root-доступ, модифицирован системный раздел или и вовсе непонятно, что там творится. В большинстве случаев такой телефон можно вернуть в «заводское» состояние, прошив его на заводскую прошивку (где скачать, посоветуют на XDA или 4PDA), после чего загрузчик можно заблокировать командой fastboot oem lock. Особенно это рекомендуем проделать с китайскими устройствами, на которые хитрые продавцы часто (чаще, чем ты можешь себе представить!) устанавливают прошивки с самыми разнообразными сюрпризами.

Обрати внимание: данная стратегия не сработает со свежими телефонами Xiaomi, перепрошитыми с китайского стока на «глобальную» версию MIUI. Если ты попробуешь заблокировать загрузчик на таком устройстве, получишь «кирпич», восстановить который может быть очень и очень трудно. Если все-таки решишь попробовать — хотя бы заведи на телефоне Xiaomi Account, чтобы впоследствии, если что-то пойдет не так, ты мог воспользоваться утилитой Mi Unlock для разблокировки загрузчика.

Но что, если загрузчик нельзя заблокировать (так часто бывает на многих китайских устройствах)? Значит, тебе не повезло. Впрочем, если ты приобрел такое устройство, то, вероятно, безопасность — последняя из проблем такого телефона. Теоретически даже на таких устройствах будет работать шифрование, которое не позволит просто так считать данные. На практике же взлом таких устройств обычно не представляет никакой проблемы. Единственное, что ты можешь попытаться сделать, — настроить Secure Startup; в этом режиме ключ шифрования данных будет генерироваться на основе кода блокировки. Достаточно длинный код блокировки увеличит время, которое потребуется на взлом.

Что делать, если ты приобрел телефон, который ведет себя странно? При малейшем подозрении на вредоносное ПО в прошивке зайди в профильную ветку на 4PDA. Вполне вероятно, что ты с такой проблемой не один и на форуме уже есть подробные инструкции по удалению или заморозке малвари.

А что делать, если производитель не выпускает обновлений, а в прошивке прочно прописались зловредные компоненты? Конечно, разумным поступком было бы избавиться от такого устройства, но в реальном мире так мало кто делает. Поэтому рекомендация: попробуй разблокировать загрузчик (хуже уже не станет) и установить на телефон официальную сборку Lineage OS. В официальных сборках Lineage (в отличие от, например, Resurrection Remix) все хорошо и с приватностью, и с шифрованием, и с обновлениями «по воздуху». В зависимости от доступной для твоего устройства версии прошивки может использоваться шифрование как FDE, так и FBE; в первом случае рекомендуем настроить Secure Startup. Если же сборок Lineage нет или разблокировать загрузчик невозможно, то даже ребенку я бы такой телефон отдавать не стал.

 


Если забрали компьютер

Обсудив защищенность твоих данных в мобильном устройстве, поговорим о том, как анализ компьютера может повлиять на безопасность твоих мобильных устройств. Если эксперт получил доступ к твоему компьютеру, а полнодисковое шифрование (например, посредством BitLocker) ты не используешь, то запуском простой утилиты и одним-двумя ленивыми кликами мышки будут извлечены все логины и пароли от всех твоих учетных записей. Откуда? Из базы данных твоего любимого браузера: Chrome, Mozilla, Edge… Пользуешься менеджером паролей? Если разработка тебя в качестве подозреваемого представляет хоть какой-то интерес, то к базе данных паролехранилки попытаются подобрать пароль (тут, впрочем, результат не гарантирован).

Что произойдет, когда пароли будут извлечены? В зависимости от того, каким смартфоном ты пользуешься, эксперт запустит еще одно приложение, которое извлечет всю информацию из облака Apple, Google или, к примеру, Samsung. (В скобках: если ты пользуешься смартфоном Samsung, то знаешь ли ты, что именно хранится в соответствующем облаке, даже если ты не включал его сознательно?)

Если ты пользуешься iPhone, из облака можно извлечь:

  • резервные копии (кстати, не всегда; если у тебя свежая версия iOS и активирована двухфакторная аутентификация, то резервную копию скачать не удастся. Впрочем, если у тебя остались старые резервные копии, созданные устройствами с iOS 11 или старше, то их извлечь получится. Мораль: посмотри, что у тебя хранится в облаке, и удали ненужные резервные копии!);
  • синхронизированные данные: контакты, заметки, календари, закладки браузера Safari и прочее;
  • фотографии (если у тебя включен iCloud Photo Library), в том числе недавно удаленные;
  • журнал звонков и историю браузера;
  • некоторые данные карт;
  • если узнают код блокировки твоего телефона или пароль от компьютера Mac, то и все облачные пароли (iCloud Keychain) и данные «Здоровья» (журнал твоей повседневной активности), а также SMS и iMessage.

Пользуешься Android? Google собирает намного больше данных, чем Apple; длиннее и список доступной для извлечения информации:

  • резервные копии и данные приложений (кстати, в Android именно в этой категории будут храниться журналы звонков, SMS, а также маркеры аутентификации отдельных приложений);
  • синхронизированные данные: календари, контакты, заметки;
  • пароли Chrome (какой-либо дополнительной защиты, как в iOS, для них не предусмотрено);
  • подробнейшая история местоположения за последние много лет. Пожалуй, на этот пункт будут обращать внимание в первую очередь;
  • история браузера и поисковых запросов. Исследуется в обязательном порядке;
  • почта Gmail, которую можно использовать, например, для сброса пароля к другим учетным записям.

Исследование облака Google часто дает более интересный результат, чем даже анализ самого смартфона, так как собираются данные не только с конкретного телефона, но и со всех других устройств (в том числе компьютеров), в которых ты вошел в свой Google Account.

Если у тебя телефон Samsung, то можно вытащить еще кое-что из собственного облака Samsung. Мы понимаем, что для многих читателей наличие у Samsung собственного облачного сервиса станет сюрпризом, а то, что в нем, оказывается, хранятся какие-то данные (и ты с этим в какой-то момент успел согласиться), может сильно удивить. В облаке Samsung можно найти:

  • резервные копии (интересно, что Samsung сохраняет в облаке не только данные приложений, но и APK);
  • фотографии (если ты не приложил осознанных усилий, чтобы отключить синхронизацию фотографий в облако);
  • данные Samsung Health;
  • резервные копии часов и трекеров Samsung.

Пользователи смартфонов Xiaomi (а также других устройств под управлением MIUI) имеют возможность синхронизировать свои устройства с облаком Mi Cloud (если смартфон «глобальной» версии, то информация сохраняется в дополнение к тому, что сохраняется в Google Account). В облаке Mi Cloud можно найти следующее:

  • резервные копии. Здесь достаточно скудно: сохраняются APK и настройки телефона, но не сохраняются данные приложений;
  • контакты, SMS;
  • фотографии, если ты включил синхронизацию.

Как обезопасить себя от облачных атак? Самые распространенные советы по безопасности, кочующие из одной статьи в другую, оказываются и самыми бесполезными. Ты можешь выбрать длинный и сложный пароль, но извлечение даже самого длинного пароля из встроенного в Chrome хранилища займет те же миллисекунды, что и совсем короткого. Ты можешь включить двухфакторную аутентификацию, но обойти ее будет довольно просто, если эксперт достанет из твоего телефона SIM-карту и использует ее для получения одноразового кода. Более того, если твой браузер залогинен в твой Google Account, можно вытащить cookie, содержащие маркеры аутентификации, — в этом случае не нужен ни одноразовый код, ни пароль, ни даже логин. Это не значит, что двухфакторная аутентификация бесполезна — она вполне эффективна против попыток удаленного взлома. Просто рассчитывать только на эти меры, если работают грамотные эксперты, нельзя.

Помочь может многослойная защита.

Во-первых, обеспечь физическую безопасность компьютера, включив шифрование системного диска через BitLocker. Кстати, убедись, что ключ шифрования BitLocker Recovery Key не «утек» в облако OneDrive (проверить можно тут) или не сохранился в Active Directory.

Если ты живешь в России, то просто так взять и зашифровать системный диск у тебя не получится. Для того чтобы включить шифрование, тебе нужна как минимум профессиональная редакция Windows и аппаратный модуль доверенной загрузки TPM 2.0. Именно в аппаратном модуле должен храниться сам ключ шифрования, при помощи которого будет зашифрован раздел. Модули TPM 2.0 не получили сертификации ФСБ; соответственно, все продающиеся на территории РФ компьютеры не должны включать этот модуль по умолчанию, даже если он физически распаян на материнской плате. Варианты? Если есть возможность активировать TPM 2.0 в настройках BIOS — сделай это и включи BitLocker. Если такой возможности нет, то разрешить шифрование системного раздела при помощи BitLocker получится и без аппаратного модуля. Сделать это можно вручную, отредактировав групповые политики Windows. Подробности — по ссылке.

Следующий слой защиты — пароли для облачных учетных записей. Для облачных сервисов Google, Apple, Samsung, Xiaomi используй уникальные пароли, непохожие на все те, что записаны в хранилище браузера. Запусти свой любимый, не самый любимый и совсем нелюбимый браузеры и убедись, что в их хранилище нет данных перечисленных выше учетных записей. Если используешь Chrome — выйди из учетной записи Google. Сотри кеш и куки браузера, после чего закрой все окна. Всё, на какое-то время (пока ты снова не войдешь в Google Account) ты защищен от облачного вектора атаки.

Использование такой системы незначительно повлияет на удобство повседневного использования, но существенно повысит безопасность.

 


Lockdown

У пользователей iPhone есть дополнительный фактор риска: файл lockdown, он же — iTunes pairing record. Эти файлы создаются при подключении iPhone или iPad к компьютеру, на котором установлено приложение iTunes; они нужны для того, чтобы при помощи iTunes можно было синхронизировать устройство с компьютером без постоянного ввода кода блокировки. С одной стороны, наличие механизма pairing record — это удобство. С другой — уязвимость. Так, инструменты «Элкомсофт» позволяют использовать файлы lockdown для создания резервной копии телефона, даже если экран заблокирован (но сам телефон был разблокирован хотя бы раз с момента загрузки). Решение GrayKey в тех же условиях и вовсе позволяет создать полный образ файловой системы (правда, пока только для iOS 11).

Как защититься? С одной стороны, можно удалить файлы lockdown с компьютера; на Windows 10 они находятся в папке C:\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup (если ты устанавливал iTunes с сайта Apple) или в папке C:\Users\<username>\Apple\MobileSync\Backup (если ты используешь версию iTunes из Microsoft Store).

А вот просто так удалить эти записи на iPhone нельзя; можно лишь сбросить все доверенные записи сразу через Settings → General → Reset → Reset Location & Privacy. Кстати, для сброса нужно будет ввести код блокировки. Другой способ удалить доверенные записи — сброс настроек Reset Network Settings. А вот Reset All Settings на записи доверия не влияет никак (зато удаляет пароль на резервную копию).

Насколько реальны риски, связанные с анализом компьютера? По информации от самих полицейских, исследование компьютеров проводят нечасто. Как правило, у полиции возникают следующие препятствия:

  • препятствия юридического характера: имеющееся постановление разрешает досмотр и анализ улик, бывших у задержанного при себе (но не дает разрешения на обыск в квартире);
  • ограничения по времени: работа эксперта поставлена на поток. В рутинных случаях у эксперта нет месяца, недели или даже нескольких дней, чтобы подробнейшим образом проанализировать все доступные улики;
  • пароль к BitLocker чрезвычайно стойкий. Атаки «в лоб» обречены, если полиция не сможет извлечь готовый ключ шифрования посредством, к примеру, FireWire Attack;
  • поверхностная экспертиза: в результате строгих временных рамок содержимое жесткого диска просматривается на предмет вполне конкретных файлов (фото- и видеоматериалы, переписка, базы данных мессенджеров);
  • даже если предпринимается полный анализ, очень часто в кеше браузеров не оказывается нужных паролей;
  • даже если нужные пароли есть, в облаке подозреваемого не оказывается резервных копий вообще или достаточно свежих резервных копий. Даже для iOS это типичная ситуация: если оставить все настройки по умолчанию, то мизерные 5 Гбайт бесплатного места в облаке в кратчайшие сроки будут забиты синхронизированными фотографиями. На резервные копии места уже не останется. А вот у пользователей Android — останется: как резервные копии, так и фотографии в «стандартном» качестве не учитываются в и без того достаточно щедрой квоте в 15 Гбайт.

Заключение

В этой статье мы подробно рассмотрели риски и настройки безопасности, выходящие далеко за рамки стандартных советов «установить код блокировки» и «включить двухфакторную аутентификацию». Надеемся, что понимание рисков, связанных с теми или иными твоими действиями и настройками, поможет тебе адекватно оценить степень безопасности твоих данных — и, возможно, укрепить слабые места без каких-либо заметных неудобств в работе устройства.


Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org