Avira для Windows 10 info@avirus.ru

«Пытка холодом» помогла извлечь данные с Android-устройства

Исследовательская группа из университета им. Фридриха-Александера (FAU) в г. Эрлангене и Нюрнберге (Германия) продемонстрировала необычную методику для восстановления данных с зашифрованного Android-устройства без ввода правильного ПИН-кода или пароля. Методика под названием «атака холодной загрузки» (cold boot attack) работает при заморозке аппарата до температуры ниже 10°C.

Встроенное шифрование всех данных в памяти устройства появилось в ОС Android, начиная с версии 4.0 «Ice Cream Sandwich». По умолчанию оно отключено, а при активации не позволяет получить никаких данных, если не ввести правильный ПИН-код или пароль. Тем не менее, в своей работе Тило Мюллер (Tilo Müller), Михаэль Спрайценбарт (Michael Spreitzenbarth) и Феликс Фрайлинг (Felix Freiling) показали, как заморозка позволяет извлечь зашифрованные данные частично или целиком.

Технически новая атака заключается в медленном некорректном отключении устройства. В обычных условиях отключение питания приводит к уничтожению всего содержимого оперативной памяти, но это происходит не моментально. У микросхем памяти есть такое свойство, как остаточная индукция, то есть содержимое ячеек исчезает постепенно. Если получить доступ к ячейкам до их полного затухания, можно восстановить изначально записанные в них данные. Понятно, что в таких условиях нужно действовать очень быстро, но затухание ячеек идет гораздо медленнее при низких температурах. В итоге, заморозка дает дополнительное время на извлечение содержимого оперативной памяти, в том числе, ключей шифрования. Чем холоднее, тем дольше нужные данные сохраняются в неизменном виде.

Для демонстрации своей методики авторы взяли стандартный аппарат Samsung Galaxy Nexus. Эта модель была выбрана, как одна из первых с предустановленной ОС Android 4.0, и как система без дополнительных надстроек, которые могут затруднить взлом. Вся процедура атаки с фотографиями опубликована на веб-сайте университета http://www1.cs.fau.de/frost. В этой процедуре есть два крайне интересных момента – некорректное отключение питания путем вытаскивания батареи и загрузка устройства с использованием нестандартного образа системы под названием FROST (Forensic Recovery of Scrambled Telephones – Криминалистическое восстановление зашифрованных телефонов).

В ходе атаки специалисты сначала проверяют, что телефон включен и батарея полностью заряжена. Затем наступает очередь холодильника – охлаждение длится около часа. Далее батарея вытаскивается и вставляется с максимальной быстротой, а телефон перезагружается с нажатой комбинацией клавиш для режима быстрой загрузки «fastboot». Когда аппарат находится в этом режиме, исследователи могут загрузить прошивку FROST с компьютера в загрузочную область восстановления. Еще одна перезагрузка – и все готово к извлечению информации.

Прошивка FROST предлагает собственное графическое меню с выбором из трех методов извлечения данных. Первый метод – поиск ключей шифрования AES в памяти устройства. Если ключи обнаружены, можно расшифровать все данные на аппарате.

Второй метод – подбор ПИН-кода прямым перебором. Это не самый эффективный способ для обхода защиты, но авторы исследования заявляют, что большинство пользователей применяют нестойкие ПИН-коды.

Если оба первых метода не дают результата, программа FROST может выгрузить на ПК полный образ памяти устройства. С полученным образом уже можно применять другие инструменты взлома.

В экспериментах команда Мюллера сумела успешно извлечь множество различной информации, включая фотографии, историю посещенных веб-страниц, электронную почту и переписку через систему Whatsapp, а также адресную книгу, записи календаря и пароли к точкам доступа Wi-Fi. Исходный код прошивки FROST и ее скомпилированную копию авторы также опубликовали на своем сайте.

Источник: www.soft.mail.ru