- Katılım
- 12 Ara 2017
- Mesajlar
- 422
- Tepkime puanı
- 451
- Puanları
- 193
Protecting your Phone from Hacking (193069)
Original message
You can choose the strongest lock code, but if your phone uses FDE encryption and you have not enabled Secure Startup mode, then the lock code can be at least a hundred characters long — the encryption will still use the phrase default_password. Disabling Smart Lock is a necessary but not sufficient step; are you sure about the security of the face scanning technology used in your device (if the phone is equipped with it)? Did you know that just by logging in to your computer, you can extract all your cloud passwords, and then simply reset the smartphone lock code? (It works, fortunately, not for all devices, but you need to know about this feature.) Finally, you need to be aware that if your computer receives a password from the cloud (Google, Apple or Samsung), then the phone itself will not be needed: the expert will extract all the necessary data from the cloud (and, most likely, there will be even more of them than in the phone itself).
In this article, we are not going to give the old-fashioned advice "turn on the lock code" or "update to the latest OS version" (of course, you have already done this). Instead, we will try to provide an understanding of the full range of "heavy artillery" capabilities that can be used against the phone owner by law enforcement and intelligence agencies to extract data.
As you know, the most difficult cases for experts to work with are a de-energized phone found near a silent body. It is in such circumstances, as a rule, that the search for all sorts of vulnerabilities in software and hardware begins. In everyday situations, the police will come to the suspect's home, analyze the computer and extract the password cache from email clients and Chrome/Mozilla/Edge browsers. Then it is enough to go to the cloud with the found username and password, after which the rest is trivial. In some cases, you can remotely reset the lock password on your phone (today, fortunately, many manufacturers do not offer this option by default). The phone can be connected to the" octopus "UFED, which will copy the data section and decrypt it through one of the vulnerabilities known to the developers or using the" decrypting bootloader " (decrypting bootloader in Cellebrite terms), regardless of the length of your password and the availability of installed updates.
After reading this article, you will be more fully aware of the opportunities to protect your data and the risks that will remain even when you did everything right.
How will your iPhone be hacked
The complexity of hacking an iPhone differs depending on a number of factors. The first factor: the installed version of iOS (you don't think that the tips "upgrade to the latest available version" appeared out of the blue?), the complexity of the lock code and the state of the device (more on it below).
First, about the iOS versions. If you still have any version of iOS 11 installed, I have bad news for you: for this OS, both direct brute force code cracking and full (and very fast) information extraction via physical access are available. The complexity of the lock code and the state of the device (on/off, whether the USB restricted mode is enabled, and so on) will affect the search speed.
How to hack an iPhone with iOS 11
If the phone was turned off: the password search speed will be very slow (one attempt per ten seconds). If you set a six-digit lock code, it will take forever to sort it out.
If the phone was turned on and you unlocked it at least once after turning it on: the first 300,000 passwords will be tried very quickly; the brute force speed is such that the four-digit lock code can be cracked within half an hour in fully automatic mode. Conclusion? Use a six-digit password.
If you managed to use the SOS mode (by holding down the power button and the volume button): the phone goes back to the "slow" search mode. A six-digit lock code is an excellent protection in this case.
Finally, in iOS 11.4.1, there is a USB restricted mode, which allows you to protect your device from hacking by brute-force passwords. Within an hour after the last unlock, iOS will disable access to the USB port, after which it will be impossible to search for passwords. In order for the protection to work, you need to leave the USB Accessories switch in the "off" position. However, recently rumors have been actively circulating that the developers of forensic complexes have managed or are about to be able to circumvent this protection. Conclusion? Yes, upgrade to iOS 12, finally!
How to hack an iPhone with iOS 12
The situation with iOS 12 is quite interesting. Apple managed to close a number of vulnerabilities that made it possible to brute force passwords on devices with iOS 11. Moreover, the USB restricted mode protection mode has been improved: now the USB port (or rather, the ability to transfer data via a physical Lightning connector) is disabled as soon as you lock the device screen. However, only if you have not connected your phone to a computer, wired audio system or other accessories for at least three days; if you have, it will be the same as before — in an hour. In addition, the USB port is now disabled when calling SOS mode (hold down the power and volume buttons).
On the other hand, in iOS 12 there are vulnerabilities that migrated to the system from the 11th version of the OS. In iOS 12, up to version 12.1.2, two important vulnerabilities were not closed, allowing full access to the file system through privilege escalation without installing a full-fledged jailbreak. Accordingly, if a phone with iOS 12.1.2 or older gets into the hands of experts in an unlocked state, then the data from it will fly away with a whistle. In iOS 12.1.3, some of the vulnerabilities were closed (not all of them: GrayKey is still able to extract the file system image), but only iOS 12.1.4, which was released just a few days ago, was able to completely protect devices from the exploits known to date. Conclusion? There is still something in the advice "update to the latest available firmware version"!
So, how exactly will try to hack your iPhone with iOS 12?
f
The safest option for you is if your phone gets into the hands of an expert in the off state. In this case, you will not be able to start searching-at least until the developers figure out how to bypass the USB protective mode (by the way, they have not yet come up with it).
If the phone was turned on and unlocked at least once after switching on (but locked at the time of hacking), then you will not be able to do anything useful with it either. Yes, you can try to connect it to your computer to create a backup via iTunes; if you haven't activated the USB protection mode yet, and if you've connected your iPhone to iTunes at least once, the attempt may be successful. How to protect yourself? Set a long and complex password for the backup. Yes, in iOS 12 (and in iOS 11), this password can be reset — but only from the iPhone itself and only if the lock code is known. And even then, you can additionally protect your password from being reset by setting the Screen Time password. The Screen Time password is not a panacea. Generally speaking, this is a" child " protection, the function of protection against resetting the password to the backup copy is secondary in it. However, you can't even bypass it by brute force: iOS will increase the delay until the brute force rate drops to one attempt per hour (starting from the tenth attempt).
If you took an unlocked phone
In an ideal world, the police would have to show technical skills and use brilliant devices just to try to hack your smartphone. In most cases, the police will simply try to extract as much information from your smartphone as possible within the limits of their powers in the shortest possible time. With a confident voice, "ask" to unlock the phone, then take the unlocked phone to a separate room — the most typical case for (do not flatter yourself) minor offenders. Let's see what iOS can do to protect your data in this case.
So, the introduction: the iPhone is unlocked and handed over to the employee, but you did not report the lock code. (In parentheses: and don't tell me if you don't have such a duty in the case of ordinary detention.) What will happen next?
First, the employee can simply manually view the sections of interest in the device. There are posts in social networks (I'm sure they won't find anything on you there, but the article for likes is quite flexible), and correspondence, and SMS/iMessage messages, and, of course, photos.
Data from the Health app will be extracted, from which it will be possible to draw conclusions about what exactly you were doing at one time or another (in particular, it will be seen whether you were moving or sitting still, and if you were moving, whether you were running). We know of more than one, two, or even a dozen cases where a routine detention suddenly turned into an arrest and arraignment on the fact of information found in a smartphone.
How can I protect myself from analysis in this mode? No way, just don't give the unlocked device to the police. You can't not give the phone away at all, but you can refuse to unlock it-so far, it's still your right (there are exceptions, for example, when crossing the border; we wrote about them). Here we note that even on a device with an unlocked screen without a lock code, you will not be able to view the passwords from the "keychain", or disable Find My iPhone, or reset the password from the iTunes backup copy, if you installed it, or even connect the phone to the computer: you now also need a lock code.
Secondly, the phone can be connected to a GrayKey complex or similar (true, there are actually no "similar" ones, but who knows? Suddenly, Chinese hard drive duplicators will learn how to hack the iPhone?). In this case, only the latest version of iOS can save you: remember, up to and including iOS 12.1.3, there is no problem with extracting the file system image from the device. In iOS 12.1.4, the vulnerability was closed. For how long? It is not yet known.
Finally, they may try to extract data from the phone as a backup. To do this, you will need to at least connect your phone to your computer, for which the expert will need a screen lock code. You can try to get around this point by using the lockdown file from your computer. However, if you set a password for the backup and protect it from being reset using the Screen Time password, you can completely protect yourself from this side.
Conclusion? If you have unlocked the iPhone and the latest version of iOS is installed on the phone (today it is 12.1.4), the employee will most likely be forced to limit himself to "manual" analysis on the screen of the phone itself. of course, access to all the contents of the memory card (virtual and real), including photos and videos;
email, correspondence in messengers, SMS texts;
a complete list of passwords saved in Chrome (often you can find the password from your Google Account there — by the way, check if this is the case);
detailed location history. Very detailed;
Google Fit data. They can be exported;
calls, contacts.
Breaking the lock screen code
I would very much like to write a detailed article about how and how you can hack a locked Android smartphone, but I'm afraid this is impossible: users have thousands of different models based on dozens of chipsets in hundreds of variations. Given the variety of firmwares, versions of Android itself and the availability of current security patches (the same problem of Android fragmentation), there is a situation in which even the largest manufacturer of forensic products does not know what devices their complex works with. "Try to connect" is the standard answer to the question whether Complex X supports smartphone Y.
For example, a simple question: is it possible to crack the lock code for a specific smartphone model, and most importantly-do I need to do this or can I do it this way? Numerous articles on security in one voice recommend installing a strong lock code, keeping silent about the fact that for about every second smartphone it is completely useless. How to determine if it makes sense to bother with a complex lock code or if you need to dig in the other direction?
The answer is related to the encryption algorithm used in a particular device. As you may recall, all smartphones released from the factory with Android 6 and later versions are required to encrypt user data by the time the initial setup is completed. However, encryption is different from encryption. Most older devices use so-called Full Disk Encryption (FDE). In FDE mode, the data on the user partition is encrypted using device credentials, an encryption key that is generated based on a certain hardware key and the default_password phrase.
Yes, that's right — default_password protects all your data. Is it all gone? Anyone can take and decipher the information? Not really. The encryption key is generated inside the Trusted Execution Environment (TEE) at the time the device is loaded; the source data is a unique key for each device, which does not go beyond the TEE. If you remove the memory chip from the phone and copy the information from it, you will not be able to decrypt the data without a key from the TEE. Accordingly, to decrypt the information, you will need not just to pull the data from the phone (for example, through EDL mode), but also to hack the TEE or replace the bootloader. In principle, such "decrypting bootloaders" (decrypting bootloader) exist, for example, in Cellebrite for a number of models, and sometimes for entire families of models united by a common chipset. However, to use this feature, you will need a special complex that will extract the data.
Even if your phone uses outdated FDE protection, you can securely protect your data by activating Secure Startup mode. In this mode, the encryption key will be re-encrypted with the data of the hardware key and your lock code (instead of default_password). The disadvantage of this method is also there: the phone simply does not boot up until the moment you enter the lock code; if your phone accidentally reboots, you will not even be able to answer the call until the phone is fully loaded.
This flaw is completely eliminated in the new file-based encryption scheme, called File Based Encryption (FBE). FBE-encrypted devices use user credentials (lock code) to encrypt most information, including all personal data. In this case, the executable files of the applications, as well as some databases necessary for loading the device, will be encrypted using device credentials (that is, data exclusively from the hardware key). There is no Secure Startup mode when using FBE because it is unnecessary.
To decrypt the data of both devices with FDE, using Secure Startup mode, and devices with FBE, you need to crack the lock code. The specific procedures differ depending on the chipset, but the general principle is the same: connect to the USB port and run the brute force procedure.
Of course, the phones have built-in protection against such attacks. We have already described the Qualcomm TrustZone, within which the Trusted Execution Environment (TEE) operates. It can only run so-called trustlets( trustlets), a kind of micro-applications signed with a key that is verified by the TEE itself. This is where passcode verification is implemented (via the GateKeeper service). GateKeeper, in turn, limits the speed of password brute-force at the hardware level; even a four-digit code cannot be quickly brute-force, and six digits can be brute-force indefinitely. It is GateKeeper that will not allow you to hack the phone when Secure Startup is enabled or if FBE encryption is used.
If there is protection, then there will be attempts to crack it. In particular, for Qualcomm processors up to and including Snapdragon 821, there is an exploit that allows you to run your own trastlet and bypass the brute-force speed limit. In reality, the developers of forensic systems treat this vulnerability as a toothache: on the one hand, the vulnerability exists, it is an eyesore; customers want it. On the other hand, it is very difficult to use it: you need to write your own code for each device, select offsets, test... If we were talking about an iPhone, the number of current chipsets of which can be counted on the fingers of one hand, support for a vulnerability of this level would have been implemented yesterday. But hundreds of modifications of chipsets used in smartphones with Android (and each model, for which you need to start the development process, will fall into the hands of the police in single copies), make such development economically impractical.
For flagship smartphones running on Qualcomm processors, the ability to pull data through vulnerabilities looks something like this:
for older devices (up to and including Snapdragon 821) with exploits, it is sometimes possible to crack the passcode if Secure Startup is not installed (many methods have been found);
for older devices with Secure Startup enabled or with FBE encryption, the brute force speed is limited by GateKeeper. An attack on a "cold" device (after rebooting or turning it on) is practically not implemented except for a few popular models (the "elusive Joe" problem»);
for new devices (with Snapdragon 835 and later), EDL exploits are not available, the TEE exploit is not available, and even in rare cases when FDE encryption is used, it is quite difficult to decrypt the contents of the data section (but in some cases it is possible, exploits exist);
Finally, for new devices (SD835 and newer) that use FBE encryption, no exploits work: the encryption key depends on the password, and brute force is very slow (GateKeeper).
How to protect your smartphone from breaking the lock code and physically extracting data
First, check which encryption system is used on your device. To do this, run the following command via ADB:
$ adb shell getprop ro.crypto.type
If the command returned the word file, then your smartphone uses FBE encryption.
If FBE file-by-file encryption is used:
How will your Android smartphone be hacked
As with the iPhone, the police will try to force you to unlock the device. If they succeed and you hand over the unlocked phone to the police, relax: the rest does not depend on you; you gave everything that was possible. Unlike iOS, which tries to somehow protect you even in such situations, from the screen of an unlocked smartphone, the investigator will receive: set the lock code with a length of at least six digits (if the device allows it);
disable the USB Debugging mode.
If you use FDE, enable Secure Startup. To do this:
go to settings and delete the current lock code;
create a new lock code. The system will ask you if you want to enable secure boot mode. Confirm the request;
don't forget to disable USB Debugging mode.
Can I change the encryption type from FDE to FBE? In general, no. The ability to switch from FDE to FBE was only available on some Google devices (such as the Pixel C tablet) when FBE was being developed. For modern devices, this is not possible.
General recommendations
What recommendations are usually given by articles on Android security? Use a more complex lock code or a more authentic pattern; disable Smart Lock; update Android; enable two-factor authentication. The advice sounds logical, but at the same time extremely superficial, in the style of "information security for blondes". Meanwhile, for every second Android smartphone, the length of the lock code does not affect security in any way; disabling Smart Lock is useless if the user has enabled (or forgot to disable) the USB debugging mode, and there is no point in checking for Android updates if the manufacturer of your device delays updates.
To begin with, we will make our own list of recommendations, and then go through some of the items in detail.
The lock code. It is necessary, and preferably not shorter than six digits. At the same time, you should check which encryption mechanism is used in your smartphone — FDE or FBE, and if FDE, then you need to enable the Secure Startup Secure boot mode.
Disable the USB debugging mode. Any other actions are meaningless if this mode is enabled.
You probably know that an unlocked bootloader is a security hole? We will not even consider such cases, but if there is an item OEM unlock in the Developer settings of your phone, and you are not going to unlock the bootloader in the near future, disable it.
If your phone has a setting for the mode in which the device should be available when connected to a computer, select "Charge only". Otherwise, you will be able to copy the contents of the memory card, including photos and videos, from your locked phone. If there is no such setting, then check what happens when you connect. As a rule, in modern devices, the Charge only mode will be selected by default. If this is the case, everything is fine; if File Transfer or MTP is selected by default, you can put an end to security.
Of course, the latest version of Android is good, and current security patches are a must. The only problem is that the vast majority of manufacturers hideously delay updates, leaving the vulnerabilities found uncovered for many months (or even years). If your phone is not the current flagship (or the current flagship of Samsung or LG), then you can forget about quick updates. But check for updates anyway.
Smart Lock is an absolute evil in terms of security. Disable all types of Smart Lock, including face unlock (only in Smart Lock; if your phone is equipped with a three-dimensional scanner with infrared illumination-the advice is irrelevant).
At the same time, disable the phone lock delay, if it is configured (Settings → Security & Location → Automatically lock → Immediately).
Have you forgotten about the installation from unknown sources? Do not keep this switch active, it really makes your phone vulnerable. By the way, in Android 8, there is no separate setting; permission is granted to individual applications, you can manage the setting through the Special app access settings item.
Just the other day, there was a scandal: it turned out that a number of iPhone applications record user actions and transmit screenshots of the screen, including personal data, passport numbers and credit cards, in the form of analytics. In Android, there was no scandal: absolutely any application with Draw over other apps permissions or running as an Accessibility service can do the same. Check if there's anything extra in there.
And then there's the Device admin. Applications from this category can be used to remotely change the lock code, lock or unlock the device, or reset the settings to factory settings. If it's Google Find My Phone or the Exchange Admin installed by your employer, then all is well. Make sure that there is no excess in the list.
You probably already know about the backdoors built by manufacturers. Many manufacturers build in the firmware of their phones tools for collecting analytics. From time to time, it turns out that "analytics" is also your contacts with passwords. By and large, there is not much to do here. You can try to restrict the access of analytics to the Internet (for example, the AdGuard application, installed, by the way,from third-party sources — from the developer's website, and not from the Play Store), but if you have such a device in your hands, then all possible data has long been leaked. Just accept it.
Finally, about the apps from the Play Store. Many of them have requested (and most likely received) the wildest permissions. For example, you could give the" Birds " access to the camera, microphone and contacts (why?), an advanced calculator - access to the location, and a beautiful photo gallery-permission to read and send SMS. Do not be lazy and go to the list of application permissions; for most users, a simple analysis of the issued permissions is a big surprise.
Do not store your Google Account password in the Chrome browser. They'll be looking for him first.
Enable two-factor authentication. No comments; we have written on this topic more than once or twice.
Deferred blocking
Once upon a time, entering a lock code was the only, slow and inconvenient way to unlock your phone screen. Many users found it inconvenient to constantly enter a password; they abandoned security in favor of convenience and speed. The delayed blocking was a logical response to the problem on the part of both Google and Apple. When the corresponding option was activated, you could turn off the phone's display with a button, turn it on again — and get directly to the home screen. The delay can be adjusted depending on your own preferences. Is it necessary to say that the delay in blocking dramatically reduces the level of security? Imagine the situation: you are walking down the street, with your face buried in the phone, and suddenly you bump into the chest of a police officer. Reflexively press the button to turn off the display, after which you are detained. They confiscate your phone, turn on the screen — and immediately get to the home screen. Passwords, lock codes, locked bootloader, encryption, and many other things will no longer matter.
iOS has a similar setting: Settings → Touch ID & Passcode → Require Passcode. Its purpose is about the same as in smartphones with Android, with one important difference: if you use Touch ID or Face ID, in modern versions of iOS, the only available choice will be Immediately (that is, block immediately after turning off the screen). But if you disable biometrics, leaving only the lock code, then other options will become available, up to Never (request a lock code only after the first download and from time to time according to Apple's constantly changing policies). Please note: Some options may not be available if you have a foreign security policy installed on your device.
Smart Lock
Why is everyone so opposed to the Smart Lock feature? The fact is that this feature allows you to unlock your phone using methods that have nothing to do with security. Let's look at the examples. Face Unlock. Face unlock in the Smart Lock section has nothing to do with biometric authentication. This is just a comparison of the user's image with a photo taken on the front camera of the device. Such a Face Unlock is easily deceived by a flat photo. Please note: in phones equipped with the biometric function Face Unlock (for example, Xiaomi Mi 8), this item will not be in the settings; in such devices, Face Unlock obeys the same requirements and rules as unlocking by fingerprint sensor.
Trusted places. Automatically unlocks devices in the vicinity of places where you often visit. If the phone is pulled out of your pocket near the house, the attacker will not have any problems with unlocking it.
Trusted devices. If a trusted Bluetooth device is connected, the phone can be unlocked automatically. Believe me, the police will have no trouble using your smartwatch or tracker to unlock it.
Voice Match, On-body detection. To some extent, experimental options that allow users to unlock the device less often with a lock code.
If Smart Lock is so insecure, why does it even exist in Android? Smart Lock is a heavy legacy of the days when entering a lock code or pattern was the only way to unlock your phone. The vast majority of users did not like that precious seconds were spent on unlocking the device (and unlocking the phone with gloves was still a task); as a result, many did not install any protection at all. In order to somehow teach users to install the lock code, Google had to greatly lower the bar: for example, there were options that allow you to delay the screen lock for 10-15 minutes from the moment of the last unlock. Smart Lock-from the same opera. There is no reasonable need for either a Smart Lock or a delayed lock: modern fingerprint scanners work a little faster than just "instantly", and face unlock has reached fairly high levels of speed and security.
Unlock by face
How safe is face unlock? We did not write about this in the section about the iPhone; they use a system with a sufficient level of technical security. In smartphones with Android, manufacturers install face-unlock modules, the security of which ranges from "good" to "same Smart Lock, side view". So, in Samsung smartphones there is a mode that combines the image of the face with the scanning of the iris of the eye; it will not be possible to deceive such a system with a three-dimensional model of the head. Similar systems began to appear in the flagship devices of Huawei, Xiaomi and many others. At the same time, a number of devices use much more primitive systems, based either on a photo from a front-facing camera, or on a two-dimensional photo from an infrared sensor. It is quite possible to deceive such systems, sometimes it is very simple. As correctly noted in the article "Unlocking by face is not the best idea", the approach "My phone can do everything the same as your iPhone-and costs ten times less!" will be found more and more often.
The legal aspect of face-to-face unblocking stands out. In the United States, a number of precedents have been established that regulate the ability of the police to unlock the device by scanning the face of a suspect. There are both positive (permission to unlock the person was issued) and negative (permission was not issued or was issued illegally) precedents, and thanks to them, a fairly clear legal framework is established, which the police will not cross in most cases.
At the same time, in Russia, we have repeatedly heard about stories when the phone "accidentally" turned in the direction of the detainee, and then "by itself" unlocked. It is very difficult to prove that the phone was unlocked in violation of legal norms in such cases: Russian police officers are not yet equipped with body cameras, as in the United States.
To use or not to use face unlock is an open question, and the answer to it lies not only in the technical field; it is up to you to decide in any case. The author of this text uses this opportunity.
Security of the insecure
And what can you do if you have a frankly "leaky" phone with an unlocked bootloader or a "Chinese" flashed by clever sellers? In this case, it is not necessary to talk about serious security, of course, but you can still do something.
The first and simplest option: you have a phone in your hands, the bootloader of which is unlocked (for example, by the previous owner). Often such situations are complicated by the fact that the phone has a custom firmware installed, there is root access, the system partition is modified, or it is not at all clear what is going on there. In most cases, such a phone can be returned to the "factory" state by flashing it to the factory firmware (where to download it, they will advise on XDA or 4PDA), after which the bootloader can be blocked with the fastboot oem lock command. This is especially recommended to do with Chinese devices, which cunning sellers often (more often than you can imagine!) install firmware with a wide variety of surprises.
Please note: this strategy will not work with the latest Xiaomi phones, flashed from the Chinese stock to the" global " version of MIUI. If you try to block the bootloader on such a device, you will get a "brick", which can be very, very difficult to restore. If you still decide to try it — at least start a Xiaomi Account on your phone, so that later, if something goes wrong, you can use the Mi Unlock utility to unlock the bootloader.
But what if the bootloader can't be blocked (as is often the case on many Chinese devices)? So you're out of luck. However, if you have purchased such a device, then security is probably the last of the problems of such a phone. Theoretically, even on such devices, encryption will work, which will not allow you to just read the data. In practice, hacking such devices usually does not pose any problem. The only thing you can try to do is set up Secure Startup; in this mode, the data encryption key will be generated based on the lock code. A sufficiently long lock code will increase the time it takes to break in.
What should I do if I bought a phone that behaves strangely? At the slightest suspicion of malware in the firmware, go to the profile branch on 4PDA. It is likely that you are not alone with such a problem and there are already detailed instructions on how to remove or freeze the malware on the forum.
And what if the manufacturer does not release updates, and malicious components are firmly registered in the firmware? Of course, the smart thing to do would be to get rid of such a device, but in the real world, very few people do that. Therefore, a recommendation: try to unlock the bootloader (it will not get any worse) and install the official Lineage OS build on your phone. In the official Lineage builds (as opposed to, for example, Resurrection Remix), everything is fine with privacy, encryption, and over-the-air updates. Depending on the firmware version available for your device, both FDE and FBE encryption can be used; in the first case, we recommend setting up Secure Startup. If there are no Lineage builds or it is impossible to unlock the bootloader, then even I would not give such a phone to a child.
If the computer was taken away
After discussing the security of your data on your mobile device, let's talk about how computer analysis can affect the security of your mobile devices. If the expert got access to your computer, and full-disk encryption (for example, via BitLocker) if you do not use it, then running a simple utility and one or two lazy mouse clicks will extract all the usernames and passwords from all your accounts. From where? From the database of your favorite browser: Chrome, Mozilla, Edge… Do you use a password manager? If the development of you as a suspect is of any interest, then the password crackers will try to find a password to the database (here, however, the result is not guaranteed).
What happens when the passwords are extracted? Depending on which smartphone you use, the expert will launch another application that will extract all the information from the cloud of Apple, Google or, for example, Samsung. (In parentheses: if you use a Samsung smartphone, do you know what exactly is stored in the corresponding cloud, even if you did not turn it on consciously?)
If you use an iPhone, you can extract it from the cloud:
backups (by the way, not always; if you have a recent version of iOS and two-factor authentication is activated, you will not be able to download a backup copy. However, if you still have old backups created by devices with iOS 11 or older, you will be able to extract them. Moral: look at what you have stored in the cloud, and delete unnecessary backups!);
synced data: contacts, notes, calendars, Safari bookmarks, and more;
photos (if you have iCloud Photo Library enabled), including recently deleted ones;
call history and browser history;
some map data;
if they find out the lock code of your phone or the password from your Mac computer, then all cloud passwords (iCloud Keychain) and "Health" data (the log of your daily activity), as well as SMS and iMessage.
Do you use Android? Google collects a lot more data than Apple; the list of information available for extraction is also longer:
backups and application data (by the way, in Android, this category will store call logs, SMS, as well as authentication tokens for individual applications);
synced data: calendars, contacts, notes;
Chrome passwords (no additional protection, as in iOS, is provided for them); the most
detailed location history for the last many years. Perhaps, this point will pay attention first of all;
browser and search query history. It is examined without fail;
Gmail mail, which can be used, for example, to reset the password to other accounts.
The study of the Google cloud often gives a more interesting result than even the analysis of the smartphone itself, since data is collected not only from a specific phone, but also from all other devices (including computers) in which you logged in to your Google Account.
If you have a Samsung phone, you can pull something else out of your own Samsung cloud. We understand that for many readers, the presence of Samsung's own cloud service will be a surprise, and the fact that it turns out to store some data (and you had time to agree with this at some point) may be very surprising. In the Samsung cloud, you can find:
backups (interestingly, Samsung stores not only app data, but also APKs in the cloud);
photos (if you didn't make a conscious effort to disable syncing photos to the cloud);
Samsung Health data;
backup copies of Samsung watches and trackers.
Users of Xiaomi smartphones (as well as other devices running MIUI) have the ability to sync their devices with the Mi Cloud (if the smartphone is a" global " version, then the information is saved in addition to what is saved in Google Account). In the Mi Cloud, you can find the following:
backups. It's quite sparse here: the APK and phone settings are saved, but the app data is not saved;
contacts, SMS;
photos, if you enabled syncing.
How to protect yourself from cloud attacks? The most common security tips that wander from one article to another are also the most useless. You can choose a long and complex password, but extracting even the longest password from the built-in storage in Chrome will take the same milliseconds as a very short one. You can enable two-factor authentication, but it will be quite easy to get around it if an expert takes out a SIM card from your phone and uses it to get a one-time code. Moreover, if your browser is logged in to your Google Account, you can pull out cookies containing authentication tokens — in this case, you do not need a one-time code, a password, or even a login. This does not mean that two — factor authentication is useless-it is quite effective against remote hacking attempts. It is simply impossible to rely only on these measures if competent experts work.
Multi-layer protection can help.
First, ensure the physical security of your computer by enabling BitLocker encryption of your system disk. By the way, make sure that the BitLocker Recovery Key encryption key is not "leaked" to the OneDrive cloud (you can check here) or not saved in Active Directory.
If you live in Russia, you will not be able to simply encrypt the system disk. To enable encryption, you need at least a professional edition of Windows and the TPM 2.0 trusted boot hardware module. It is in the hardware module that the encryption key itself must be stored, with which the partition will be encrypted. TPM 2.0 modules have not received FSB certification; accordingly, all computers sold in the Russian Federation should not include this module by default, even if it is physically soldered to the motherboard. Options? If you can activate TPM 2.0 in the BIOS settings, do it and enable BitLocker. If this is not possible, then you can enable encryption of the system partition using BitLocker without the hardware module. You can do this manually by editing the Windows group policies. For more information, follow the link. The next layer of protection is passwords for cloud accounts. For the cloud services of Google, Apple, Samsung, Xiaomi, use unique passwords that are different from all those that are recorded in the browser storage. Launch your favorite, not-so-favorite, and completely unloved browsers and make sure that their storage does not contain the data of the accounts listed above. If you use Chrome, log out of your Google account. Erase the cache and browser cookies, and then close all windows. That's all, for a while (until you log in to Google Account again), you are protected from the cloud attack vector.
The use of such a system will slightly affect the convenience of everyday use, but will significantly increase security.
Lockdown
iPhone users have an additional risk factor: the lockdown file, aka the iTunes pairing record. These files are created when you connect your iPhone or iPad to a computer that has the iTunes app installed; they are needed so that you can use iTunes to sync your device with your computer without constantly entering a lock code. On the one hand, the presence of the pairing record mechanism is a convenience. On the other hand, vulnerability. For example, Elcomsoft tools allow you to use lockdown files to create a backup copy of your phone, even if the screen is locked (but the phone itself has been unlocked at least once since the download). The GrayKey solution allows you to create a complete file system image under the same conditions (although only for iOS 11 so far).
How to protect yourself? On the one hand, you can delete lockdown files from your computer; on Windows 10, they are located in a folder C:\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup (if you installed iTunes from the Apple website) or in the folder C:\Users\<username>\Apple\MobileSync\Backup (if you use the iTunes version from the Microsoft Store).
But you can't just delete these records on the iPhone; you can only reset all trusted records at once via Settings → General → Reset → Reset Location & Privacy. By the way, to reset it, you will need to enter the lock code. Another way to delete trusted records is to reset the Network Settings. But Reset All Settings does not affect the trust records in any way (but it removes the password for the backup copy).
How real are the risks associated with computer analysis? According to information from the police themselves, the study of computers is carried out infrequently. As a rule, the police have the following obstacles:
obstacles of a legal nature: the existing resolution allows the search and analysis of evidence that the detainee had with him (but does not give permission to search the apartment);
time limits: the expert's work is put on stream. In routine cases, the expert does not have a month, a week, or even a few days to analyze all the available evidence in detail;
the BitLocker password is extremely strong. Head-on attacks are doomed if the police cannot extract a ready-made encryption key through, for example, a FireWire Attack;
superficial examination: as a result of a strict time frame, the contents of the hard disk are viewed for very specific files (photo and video materials, correspondence, messenger databases);
even if a full analysis is undertaken, very often the necessary passwords are not found in the browser cache;
even if the necessary passwords are present, there are no backups at all in the suspect's cloud, or there are enough recent backups. Even for iOS, this is a typical situation: if you leave all the default settings, then a meager 5 GB of free space in the cloud will be filled with synchronized photos in the shortest possible time. There will be no more space left for backups. But for Android users-it will remain: both backups and photos in "standard" quality are not counted in the already quite generous quota of 15 GB.
Conclusion
In this article, we took a detailed look at the risks and security settings that go far beyond the standard "set a lock code" and "enable two-factor authentication" tips. We hope that understanding the risks associated with your actions and settings will help you adequately assess the degree of security of your data — and, perhaps, strengthen the weak points without any noticeable inconvenience in the operation of the device.
Original message
You can choose the strongest lock code, but if your phone uses FDE encryption and you have not enabled Secure Startup mode, then the lock code can be at least a hundred characters long — the encryption will still use the phrase default_password. Disabling Smart Lock is a necessary but not sufficient step; are you sure about the security of the face scanning technology used in your device (if the phone is equipped with it)? Did you know that just by logging in to your computer, you can extract all your cloud passwords, and then simply reset the smartphone lock code? (It works, fortunately, not for all devices, but you need to know about this feature.) Finally, you need to be aware that if your computer receives a password from the cloud (Google, Apple or Samsung), then the phone itself will not be needed: the expert will extract all the necessary data from the cloud (and, most likely, there will be even more of them than in the phone itself).
In this article, we are not going to give the old-fashioned advice "turn on the lock code" or "update to the latest OS version" (of course, you have already done this). Instead, we will try to provide an understanding of the full range of "heavy artillery" capabilities that can be used against the phone owner by law enforcement and intelligence agencies to extract data.
As you know, the most difficult cases for experts to work with are a de-energized phone found near a silent body. It is in such circumstances, as a rule, that the search for all sorts of vulnerabilities in software and hardware begins. In everyday situations, the police will come to the suspect's home, analyze the computer and extract the password cache from email clients and Chrome/Mozilla/Edge browsers. Then it is enough to go to the cloud with the found username and password, after which the rest is trivial. In some cases, you can remotely reset the lock password on your phone (today, fortunately, many manufacturers do not offer this option by default). The phone can be connected to the" octopus "UFED, which will copy the data section and decrypt it through one of the vulnerabilities known to the developers or using the" decrypting bootloader " (decrypting bootloader in Cellebrite terms), regardless of the length of your password and the availability of installed updates.
After reading this article, you will be more fully aware of the opportunities to protect your data and the risks that will remain even when you did everything right.
How will your iPhone be hacked
The complexity of hacking an iPhone differs depending on a number of factors. The first factor: the installed version of iOS (you don't think that the tips "upgrade to the latest available version" appeared out of the blue?), the complexity of the lock code and the state of the device (more on it below).
First, about the iOS versions. If you still have any version of iOS 11 installed, I have bad news for you: for this OS, both direct brute force code cracking and full (and very fast) information extraction via physical access are available. The complexity of the lock code and the state of the device (on/off, whether the USB restricted mode is enabled, and so on) will affect the search speed.
How to hack an iPhone with iOS 11
If the phone was turned off: the password search speed will be very slow (one attempt per ten seconds). If you set a six-digit lock code, it will take forever to sort it out.
If the phone was turned on and you unlocked it at least once after turning it on: the first 300,000 passwords will be tried very quickly; the brute force speed is such that the four-digit lock code can be cracked within half an hour in fully automatic mode. Conclusion? Use a six-digit password.
If you managed to use the SOS mode (by holding down the power button and the volume button): the phone goes back to the "slow" search mode. A six-digit lock code is an excellent protection in this case.
Finally, in iOS 11.4.1, there is a USB restricted mode, which allows you to protect your device from hacking by brute-force passwords. Within an hour after the last unlock, iOS will disable access to the USB port, after which it will be impossible to search for passwords. In order for the protection to work, you need to leave the USB Accessories switch in the "off" position. However, recently rumors have been actively circulating that the developers of forensic complexes have managed or are about to be able to circumvent this protection. Conclusion? Yes, upgrade to iOS 12, finally!
How to hack an iPhone with iOS 12
The situation with iOS 12 is quite interesting. Apple managed to close a number of vulnerabilities that made it possible to brute force passwords on devices with iOS 11. Moreover, the USB restricted mode protection mode has been improved: now the USB port (or rather, the ability to transfer data via a physical Lightning connector) is disabled as soon as you lock the device screen. However, only if you have not connected your phone to a computer, wired audio system or other accessories for at least three days; if you have, it will be the same as before — in an hour. In addition, the USB port is now disabled when calling SOS mode (hold down the power and volume buttons).
On the other hand, in iOS 12 there are vulnerabilities that migrated to the system from the 11th version of the OS. In iOS 12, up to version 12.1.2, two important vulnerabilities were not closed, allowing full access to the file system through privilege escalation without installing a full-fledged jailbreak. Accordingly, if a phone with iOS 12.1.2 or older gets into the hands of experts in an unlocked state, then the data from it will fly away with a whistle. In iOS 12.1.3, some of the vulnerabilities were closed (not all of them: GrayKey is still able to extract the file system image), but only iOS 12.1.4, which was released just a few days ago, was able to completely protect devices from the exploits known to date. Conclusion? There is still something in the advice "update to the latest available firmware version"!
So, how exactly will try to hack your iPhone with iOS 12?
f
The safest option for you is if your phone gets into the hands of an expert in the off state. In this case, you will not be able to start searching-at least until the developers figure out how to bypass the USB protective mode (by the way, they have not yet come up with it).
If the phone was turned on and unlocked at least once after switching on (but locked at the time of hacking), then you will not be able to do anything useful with it either. Yes, you can try to connect it to your computer to create a backup via iTunes; if you haven't activated the USB protection mode yet, and if you've connected your iPhone to iTunes at least once, the attempt may be successful. How to protect yourself? Set a long and complex password for the backup. Yes, in iOS 12 (and in iOS 11), this password can be reset — but only from the iPhone itself and only if the lock code is known. And even then, you can additionally protect your password from being reset by setting the Screen Time password. The Screen Time password is not a panacea. Generally speaking, this is a" child " protection, the function of protection against resetting the password to the backup copy is secondary in it. However, you can't even bypass it by brute force: iOS will increase the delay until the brute force rate drops to one attempt per hour (starting from the tenth attempt).
If you took an unlocked phone
In an ideal world, the police would have to show technical skills and use brilliant devices just to try to hack your smartphone. In most cases, the police will simply try to extract as much information from your smartphone as possible within the limits of their powers in the shortest possible time. With a confident voice, "ask" to unlock the phone, then take the unlocked phone to a separate room — the most typical case for (do not flatter yourself) minor offenders. Let's see what iOS can do to protect your data in this case.
So, the introduction: the iPhone is unlocked and handed over to the employee, but you did not report the lock code. (In parentheses: and don't tell me if you don't have such a duty in the case of ordinary detention.) What will happen next?
First, the employee can simply manually view the sections of interest in the device. There are posts in social networks (I'm sure they won't find anything on you there, but the article for likes is quite flexible), and correspondence, and SMS/iMessage messages, and, of course, photos.
Data from the Health app will be extracted, from which it will be possible to draw conclusions about what exactly you were doing at one time or another (in particular, it will be seen whether you were moving or sitting still, and if you were moving, whether you were running). We know of more than one, two, or even a dozen cases where a routine detention suddenly turned into an arrest and arraignment on the fact of information found in a smartphone.
How can I protect myself from analysis in this mode? No way, just don't give the unlocked device to the police. You can't not give the phone away at all, but you can refuse to unlock it-so far, it's still your right (there are exceptions, for example, when crossing the border; we wrote about them). Here we note that even on a device with an unlocked screen without a lock code, you will not be able to view the passwords from the "keychain", or disable Find My iPhone, or reset the password from the iTunes backup copy, if you installed it, or even connect the phone to the computer: you now also need a lock code.
Secondly, the phone can be connected to a GrayKey complex or similar (true, there are actually no "similar" ones, but who knows? Suddenly, Chinese hard drive duplicators will learn how to hack the iPhone?). In this case, only the latest version of iOS can save you: remember, up to and including iOS 12.1.3, there is no problem with extracting the file system image from the device. In iOS 12.1.4, the vulnerability was closed. For how long? It is not yet known.
Finally, they may try to extract data from the phone as a backup. To do this, you will need to at least connect your phone to your computer, for which the expert will need a screen lock code. You can try to get around this point by using the lockdown file from your computer. However, if you set a password for the backup and protect it from being reset using the Screen Time password, you can completely protect yourself from this side.
Conclusion? If you have unlocked the iPhone and the latest version of iOS is installed on the phone (today it is 12.1.4), the employee will most likely be forced to limit himself to "manual" analysis on the screen of the phone itself. of course, access to all the contents of the memory card (virtual and real), including photos and videos;
email, correspondence in messengers, SMS texts;
a complete list of passwords saved in Chrome (often you can find the password from your Google Account there — by the way, check if this is the case);
detailed location history. Very detailed;
Google Fit data. They can be exported;
calls, contacts.
Breaking the lock screen code
I would very much like to write a detailed article about how and how you can hack a locked Android smartphone, but I'm afraid this is impossible: users have thousands of different models based on dozens of chipsets in hundreds of variations. Given the variety of firmwares, versions of Android itself and the availability of current security patches (the same problem of Android fragmentation), there is a situation in which even the largest manufacturer of forensic products does not know what devices their complex works with. "Try to connect" is the standard answer to the question whether Complex X supports smartphone Y.
For example, a simple question: is it possible to crack the lock code for a specific smartphone model, and most importantly-do I need to do this or can I do it this way? Numerous articles on security in one voice recommend installing a strong lock code, keeping silent about the fact that for about every second smartphone it is completely useless. How to determine if it makes sense to bother with a complex lock code or if you need to dig in the other direction?
The answer is related to the encryption algorithm used in a particular device. As you may recall, all smartphones released from the factory with Android 6 and later versions are required to encrypt user data by the time the initial setup is completed. However, encryption is different from encryption. Most older devices use so-called Full Disk Encryption (FDE). In FDE mode, the data on the user partition is encrypted using device credentials, an encryption key that is generated based on a certain hardware key and the default_password phrase.
Yes, that's right — default_password protects all your data. Is it all gone? Anyone can take and decipher the information? Not really. The encryption key is generated inside the Trusted Execution Environment (TEE) at the time the device is loaded; the source data is a unique key for each device, which does not go beyond the TEE. If you remove the memory chip from the phone and copy the information from it, you will not be able to decrypt the data without a key from the TEE. Accordingly, to decrypt the information, you will need not just to pull the data from the phone (for example, through EDL mode), but also to hack the TEE or replace the bootloader. In principle, such "decrypting bootloaders" (decrypting bootloader) exist, for example, in Cellebrite for a number of models, and sometimes for entire families of models united by a common chipset. However, to use this feature, you will need a special complex that will extract the data.
Even if your phone uses outdated FDE protection, you can securely protect your data by activating Secure Startup mode. In this mode, the encryption key will be re-encrypted with the data of the hardware key and your lock code (instead of default_password). The disadvantage of this method is also there: the phone simply does not boot up until the moment you enter the lock code; if your phone accidentally reboots, you will not even be able to answer the call until the phone is fully loaded.
This flaw is completely eliminated in the new file-based encryption scheme, called File Based Encryption (FBE). FBE-encrypted devices use user credentials (lock code) to encrypt most information, including all personal data. In this case, the executable files of the applications, as well as some databases necessary for loading the device, will be encrypted using device credentials (that is, data exclusively from the hardware key). There is no Secure Startup mode when using FBE because it is unnecessary.
To decrypt the data of both devices with FDE, using Secure Startup mode, and devices with FBE, you need to crack the lock code. The specific procedures differ depending on the chipset, but the general principle is the same: connect to the USB port and run the brute force procedure.
Of course, the phones have built-in protection against such attacks. We have already described the Qualcomm TrustZone, within which the Trusted Execution Environment (TEE) operates. It can only run so-called trustlets( trustlets), a kind of micro-applications signed with a key that is verified by the TEE itself. This is where passcode verification is implemented (via the GateKeeper service). GateKeeper, in turn, limits the speed of password brute-force at the hardware level; even a four-digit code cannot be quickly brute-force, and six digits can be brute-force indefinitely. It is GateKeeper that will not allow you to hack the phone when Secure Startup is enabled or if FBE encryption is used.
If there is protection, then there will be attempts to crack it. In particular, for Qualcomm processors up to and including Snapdragon 821, there is an exploit that allows you to run your own trastlet and bypass the brute-force speed limit. In reality, the developers of forensic systems treat this vulnerability as a toothache: on the one hand, the vulnerability exists, it is an eyesore; customers want it. On the other hand, it is very difficult to use it: you need to write your own code for each device, select offsets, test... If we were talking about an iPhone, the number of current chipsets of which can be counted on the fingers of one hand, support for a vulnerability of this level would have been implemented yesterday. But hundreds of modifications of chipsets used in smartphones with Android (and each model, for which you need to start the development process, will fall into the hands of the police in single copies), make such development economically impractical.
For flagship smartphones running on Qualcomm processors, the ability to pull data through vulnerabilities looks something like this:
for older devices (up to and including Snapdragon 821) with exploits, it is sometimes possible to crack the passcode if Secure Startup is not installed (many methods have been found);
for older devices with Secure Startup enabled or with FBE encryption, the brute force speed is limited by GateKeeper. An attack on a "cold" device (after rebooting or turning it on) is practically not implemented except for a few popular models (the "elusive Joe" problem»);
for new devices (with Snapdragon 835 and later), EDL exploits are not available, the TEE exploit is not available, and even in rare cases when FDE encryption is used, it is quite difficult to decrypt the contents of the data section (but in some cases it is possible, exploits exist);
Finally, for new devices (SD835 and newer) that use FBE encryption, no exploits work: the encryption key depends on the password, and brute force is very slow (GateKeeper).
How to protect your smartphone from breaking the lock code and physically extracting data
First, check which encryption system is used on your device. To do this, run the following command via ADB:
$ adb shell getprop ro.crypto.type
If the command returned the word file, then your smartphone uses FBE encryption.
If FBE file-by-file encryption is used:
How will your Android smartphone be hacked
As with the iPhone, the police will try to force you to unlock the device. If they succeed and you hand over the unlocked phone to the police, relax: the rest does not depend on you; you gave everything that was possible. Unlike iOS, which tries to somehow protect you even in such situations, from the screen of an unlocked smartphone, the investigator will receive: set the lock code with a length of at least six digits (if the device allows it);
disable the USB Debugging mode.
If you use FDE, enable Secure Startup. To do this:
go to settings and delete the current lock code;
create a new lock code. The system will ask you if you want to enable secure boot mode. Confirm the request;
don't forget to disable USB Debugging mode.
Can I change the encryption type from FDE to FBE? In general, no. The ability to switch from FDE to FBE was only available on some Google devices (such as the Pixel C tablet) when FBE was being developed. For modern devices, this is not possible.
General recommendations
What recommendations are usually given by articles on Android security? Use a more complex lock code or a more authentic pattern; disable Smart Lock; update Android; enable two-factor authentication. The advice sounds logical, but at the same time extremely superficial, in the style of "information security for blondes". Meanwhile, for every second Android smartphone, the length of the lock code does not affect security in any way; disabling Smart Lock is useless if the user has enabled (or forgot to disable) the USB debugging mode, and there is no point in checking for Android updates if the manufacturer of your device delays updates.
To begin with, we will make our own list of recommendations, and then go through some of the items in detail.
The lock code. It is necessary, and preferably not shorter than six digits. At the same time, you should check which encryption mechanism is used in your smartphone — FDE or FBE, and if FDE, then you need to enable the Secure Startup Secure boot mode.
Disable the USB debugging mode. Any other actions are meaningless if this mode is enabled.
You probably know that an unlocked bootloader is a security hole? We will not even consider such cases, but if there is an item OEM unlock in the Developer settings of your phone, and you are not going to unlock the bootloader in the near future, disable it.
If your phone has a setting for the mode in which the device should be available when connected to a computer, select "Charge only". Otherwise, you will be able to copy the contents of the memory card, including photos and videos, from your locked phone. If there is no such setting, then check what happens when you connect. As a rule, in modern devices, the Charge only mode will be selected by default. If this is the case, everything is fine; if File Transfer or MTP is selected by default, you can put an end to security.
Of course, the latest version of Android is good, and current security patches are a must. The only problem is that the vast majority of manufacturers hideously delay updates, leaving the vulnerabilities found uncovered for many months (or even years). If your phone is not the current flagship (or the current flagship of Samsung or LG), then you can forget about quick updates. But check for updates anyway.
Smart Lock is an absolute evil in terms of security. Disable all types of Smart Lock, including face unlock (only in Smart Lock; if your phone is equipped with a three-dimensional scanner with infrared illumination-the advice is irrelevant).
At the same time, disable the phone lock delay, if it is configured (Settings → Security & Location → Automatically lock → Immediately).
Have you forgotten about the installation from unknown sources? Do not keep this switch active, it really makes your phone vulnerable. By the way, in Android 8, there is no separate setting; permission is granted to individual applications, you can manage the setting through the Special app access settings item.
Just the other day, there was a scandal: it turned out that a number of iPhone applications record user actions and transmit screenshots of the screen, including personal data, passport numbers and credit cards, in the form of analytics. In Android, there was no scandal: absolutely any application with Draw over other apps permissions or running as an Accessibility service can do the same. Check if there's anything extra in there.
And then there's the Device admin. Applications from this category can be used to remotely change the lock code, lock or unlock the device, or reset the settings to factory settings. If it's Google Find My Phone or the Exchange Admin installed by your employer, then all is well. Make sure that there is no excess in the list.
You probably already know about the backdoors built by manufacturers. Many manufacturers build in the firmware of their phones tools for collecting analytics. From time to time, it turns out that "analytics" is also your contacts with passwords. By and large, there is not much to do here. You can try to restrict the access of analytics to the Internet (for example, the AdGuard application, installed, by the way,from third-party sources — from the developer's website, and not from the Play Store), but if you have such a device in your hands, then all possible data has long been leaked. Just accept it.
Finally, about the apps from the Play Store. Many of them have requested (and most likely received) the wildest permissions. For example, you could give the" Birds " access to the camera, microphone and contacts (why?), an advanced calculator - access to the location, and a beautiful photo gallery-permission to read and send SMS. Do not be lazy and go to the list of application permissions; for most users, a simple analysis of the issued permissions is a big surprise.
Do not store your Google Account password in the Chrome browser. They'll be looking for him first.
Enable two-factor authentication. No comments; we have written on this topic more than once or twice.
Deferred blocking
Once upon a time, entering a lock code was the only, slow and inconvenient way to unlock your phone screen. Many users found it inconvenient to constantly enter a password; they abandoned security in favor of convenience and speed. The delayed blocking was a logical response to the problem on the part of both Google and Apple. When the corresponding option was activated, you could turn off the phone's display with a button, turn it on again — and get directly to the home screen. The delay can be adjusted depending on your own preferences. Is it necessary to say that the delay in blocking dramatically reduces the level of security? Imagine the situation: you are walking down the street, with your face buried in the phone, and suddenly you bump into the chest of a police officer. Reflexively press the button to turn off the display, after which you are detained. They confiscate your phone, turn on the screen — and immediately get to the home screen. Passwords, lock codes, locked bootloader, encryption, and many other things will no longer matter.
iOS has a similar setting: Settings → Touch ID & Passcode → Require Passcode. Its purpose is about the same as in smartphones with Android, with one important difference: if you use Touch ID or Face ID, in modern versions of iOS, the only available choice will be Immediately (that is, block immediately after turning off the screen). But if you disable biometrics, leaving only the lock code, then other options will become available, up to Never (request a lock code only after the first download and from time to time according to Apple's constantly changing policies). Please note: Some options may not be available if you have a foreign security policy installed on your device.
Smart Lock
Why is everyone so opposed to the Smart Lock feature? The fact is that this feature allows you to unlock your phone using methods that have nothing to do with security. Let's look at the examples. Face Unlock. Face unlock in the Smart Lock section has nothing to do with biometric authentication. This is just a comparison of the user's image with a photo taken on the front camera of the device. Such a Face Unlock is easily deceived by a flat photo. Please note: in phones equipped with the biometric function Face Unlock (for example, Xiaomi Mi 8), this item will not be in the settings; in such devices, Face Unlock obeys the same requirements and rules as unlocking by fingerprint sensor.
Trusted places. Automatically unlocks devices in the vicinity of places where you often visit. If the phone is pulled out of your pocket near the house, the attacker will not have any problems with unlocking it.
Trusted devices. If a trusted Bluetooth device is connected, the phone can be unlocked automatically. Believe me, the police will have no trouble using your smartwatch or tracker to unlock it.
Voice Match, On-body detection. To some extent, experimental options that allow users to unlock the device less often with a lock code.
If Smart Lock is so insecure, why does it even exist in Android? Smart Lock is a heavy legacy of the days when entering a lock code or pattern was the only way to unlock your phone. The vast majority of users did not like that precious seconds were spent on unlocking the device (and unlocking the phone with gloves was still a task); as a result, many did not install any protection at all. In order to somehow teach users to install the lock code, Google had to greatly lower the bar: for example, there were options that allow you to delay the screen lock for 10-15 minutes from the moment of the last unlock. Smart Lock-from the same opera. There is no reasonable need for either a Smart Lock or a delayed lock: modern fingerprint scanners work a little faster than just "instantly", and face unlock has reached fairly high levels of speed and security.
Unlock by face
How safe is face unlock? We did not write about this in the section about the iPhone; they use a system with a sufficient level of technical security. In smartphones with Android, manufacturers install face-unlock modules, the security of which ranges from "good" to "same Smart Lock, side view". So, in Samsung smartphones there is a mode that combines the image of the face with the scanning of the iris of the eye; it will not be possible to deceive such a system with a three-dimensional model of the head. Similar systems began to appear in the flagship devices of Huawei, Xiaomi and many others. At the same time, a number of devices use much more primitive systems, based either on a photo from a front-facing camera, or on a two-dimensional photo from an infrared sensor. It is quite possible to deceive such systems, sometimes it is very simple. As correctly noted in the article "Unlocking by face is not the best idea", the approach "My phone can do everything the same as your iPhone-and costs ten times less!" will be found more and more often.
The legal aspect of face-to-face unblocking stands out. In the United States, a number of precedents have been established that regulate the ability of the police to unlock the device by scanning the face of a suspect. There are both positive (permission to unlock the person was issued) and negative (permission was not issued or was issued illegally) precedents, and thanks to them, a fairly clear legal framework is established, which the police will not cross in most cases.
At the same time, in Russia, we have repeatedly heard about stories when the phone "accidentally" turned in the direction of the detainee, and then "by itself" unlocked. It is very difficult to prove that the phone was unlocked in violation of legal norms in such cases: Russian police officers are not yet equipped with body cameras, as in the United States.
To use or not to use face unlock is an open question, and the answer to it lies not only in the technical field; it is up to you to decide in any case. The author of this text uses this opportunity.
Security of the insecure
And what can you do if you have a frankly "leaky" phone with an unlocked bootloader or a "Chinese" flashed by clever sellers? In this case, it is not necessary to talk about serious security, of course, but you can still do something.
The first and simplest option: you have a phone in your hands, the bootloader of which is unlocked (for example, by the previous owner). Often such situations are complicated by the fact that the phone has a custom firmware installed, there is root access, the system partition is modified, or it is not at all clear what is going on there. In most cases, such a phone can be returned to the "factory" state by flashing it to the factory firmware (where to download it, they will advise on XDA or 4PDA), after which the bootloader can be blocked with the fastboot oem lock command. This is especially recommended to do with Chinese devices, which cunning sellers often (more often than you can imagine!) install firmware with a wide variety of surprises.
Please note: this strategy will not work with the latest Xiaomi phones, flashed from the Chinese stock to the" global " version of MIUI. If you try to block the bootloader on such a device, you will get a "brick", which can be very, very difficult to restore. If you still decide to try it — at least start a Xiaomi Account on your phone, so that later, if something goes wrong, you can use the Mi Unlock utility to unlock the bootloader.
But what if the bootloader can't be blocked (as is often the case on many Chinese devices)? So you're out of luck. However, if you have purchased such a device, then security is probably the last of the problems of such a phone. Theoretically, even on such devices, encryption will work, which will not allow you to just read the data. In practice, hacking such devices usually does not pose any problem. The only thing you can try to do is set up Secure Startup; in this mode, the data encryption key will be generated based on the lock code. A sufficiently long lock code will increase the time it takes to break in.
What should I do if I bought a phone that behaves strangely? At the slightest suspicion of malware in the firmware, go to the profile branch on 4PDA. It is likely that you are not alone with such a problem and there are already detailed instructions on how to remove or freeze the malware on the forum.
And what if the manufacturer does not release updates, and malicious components are firmly registered in the firmware? Of course, the smart thing to do would be to get rid of such a device, but in the real world, very few people do that. Therefore, a recommendation: try to unlock the bootloader (it will not get any worse) and install the official Lineage OS build on your phone. In the official Lineage builds (as opposed to, for example, Resurrection Remix), everything is fine with privacy, encryption, and over-the-air updates. Depending on the firmware version available for your device, both FDE and FBE encryption can be used; in the first case, we recommend setting up Secure Startup. If there are no Lineage builds or it is impossible to unlock the bootloader, then even I would not give such a phone to a child.
If the computer was taken away
After discussing the security of your data on your mobile device, let's talk about how computer analysis can affect the security of your mobile devices. If the expert got access to your computer, and full-disk encryption (for example, via BitLocker) if you do not use it, then running a simple utility and one or two lazy mouse clicks will extract all the usernames and passwords from all your accounts. From where? From the database of your favorite browser: Chrome, Mozilla, Edge… Do you use a password manager? If the development of you as a suspect is of any interest, then the password crackers will try to find a password to the database (here, however, the result is not guaranteed).
What happens when the passwords are extracted? Depending on which smartphone you use, the expert will launch another application that will extract all the information from the cloud of Apple, Google or, for example, Samsung. (In parentheses: if you use a Samsung smartphone, do you know what exactly is stored in the corresponding cloud, even if you did not turn it on consciously?)
If you use an iPhone, you can extract it from the cloud:
backups (by the way, not always; if you have a recent version of iOS and two-factor authentication is activated, you will not be able to download a backup copy. However, if you still have old backups created by devices with iOS 11 or older, you will be able to extract them. Moral: look at what you have stored in the cloud, and delete unnecessary backups!);
synced data: contacts, notes, calendars, Safari bookmarks, and more;
photos (if you have iCloud Photo Library enabled), including recently deleted ones;
call history and browser history;
some map data;
if they find out the lock code of your phone or the password from your Mac computer, then all cloud passwords (iCloud Keychain) and "Health" data (the log of your daily activity), as well as SMS and iMessage.
Do you use Android? Google collects a lot more data than Apple; the list of information available for extraction is also longer:
backups and application data (by the way, in Android, this category will store call logs, SMS, as well as authentication tokens for individual applications);
synced data: calendars, contacts, notes;
Chrome passwords (no additional protection, as in iOS, is provided for them); the most
detailed location history for the last many years. Perhaps, this point will pay attention first of all;
browser and search query history. It is examined without fail;
Gmail mail, which can be used, for example, to reset the password to other accounts.
The study of the Google cloud often gives a more interesting result than even the analysis of the smartphone itself, since data is collected not only from a specific phone, but also from all other devices (including computers) in which you logged in to your Google Account.
If you have a Samsung phone, you can pull something else out of your own Samsung cloud. We understand that for many readers, the presence of Samsung's own cloud service will be a surprise, and the fact that it turns out to store some data (and you had time to agree with this at some point) may be very surprising. In the Samsung cloud, you can find:
backups (interestingly, Samsung stores not only app data, but also APKs in the cloud);
photos (if you didn't make a conscious effort to disable syncing photos to the cloud);
Samsung Health data;
backup copies of Samsung watches and trackers.
Users of Xiaomi smartphones (as well as other devices running MIUI) have the ability to sync their devices with the Mi Cloud (if the smartphone is a" global " version, then the information is saved in addition to what is saved in Google Account). In the Mi Cloud, you can find the following:
backups. It's quite sparse here: the APK and phone settings are saved, but the app data is not saved;
contacts, SMS;
photos, if you enabled syncing.
How to protect yourself from cloud attacks? The most common security tips that wander from one article to another are also the most useless. You can choose a long and complex password, but extracting even the longest password from the built-in storage in Chrome will take the same milliseconds as a very short one. You can enable two-factor authentication, but it will be quite easy to get around it if an expert takes out a SIM card from your phone and uses it to get a one-time code. Moreover, if your browser is logged in to your Google Account, you can pull out cookies containing authentication tokens — in this case, you do not need a one-time code, a password, or even a login. This does not mean that two — factor authentication is useless-it is quite effective against remote hacking attempts. It is simply impossible to rely only on these measures if competent experts work.
Multi-layer protection can help.
First, ensure the physical security of your computer by enabling BitLocker encryption of your system disk. By the way, make sure that the BitLocker Recovery Key encryption key is not "leaked" to the OneDrive cloud (you can check here) or not saved in Active Directory.
If you live in Russia, you will not be able to simply encrypt the system disk. To enable encryption, you need at least a professional edition of Windows and the TPM 2.0 trusted boot hardware module. It is in the hardware module that the encryption key itself must be stored, with which the partition will be encrypted. TPM 2.0 modules have not received FSB certification; accordingly, all computers sold in the Russian Federation should not include this module by default, even if it is physically soldered to the motherboard. Options? If you can activate TPM 2.0 in the BIOS settings, do it and enable BitLocker. If this is not possible, then you can enable encryption of the system partition using BitLocker without the hardware module. You can do this manually by editing the Windows group policies. For more information, follow the link. The next layer of protection is passwords for cloud accounts. For the cloud services of Google, Apple, Samsung, Xiaomi, use unique passwords that are different from all those that are recorded in the browser storage. Launch your favorite, not-so-favorite, and completely unloved browsers and make sure that their storage does not contain the data of the accounts listed above. If you use Chrome, log out of your Google account. Erase the cache and browser cookies, and then close all windows. That's all, for a while (until you log in to Google Account again), you are protected from the cloud attack vector.
The use of such a system will slightly affect the convenience of everyday use, but will significantly increase security.
Lockdown
iPhone users have an additional risk factor: the lockdown file, aka the iTunes pairing record. These files are created when you connect your iPhone or iPad to a computer that has the iTunes app installed; they are needed so that you can use iTunes to sync your device with your computer without constantly entering a lock code. On the one hand, the presence of the pairing record mechanism is a convenience. On the other hand, vulnerability. For example, Elcomsoft tools allow you to use lockdown files to create a backup copy of your phone, even if the screen is locked (but the phone itself has been unlocked at least once since the download). The GrayKey solution allows you to create a complete file system image under the same conditions (although only for iOS 11 so far).
How to protect yourself? On the one hand, you can delete lockdown files from your computer; on Windows 10, they are located in a folder C:\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup (if you installed iTunes from the Apple website) or in the folder C:\Users\<username>\Apple\MobileSync\Backup (if you use the iTunes version from the Microsoft Store).
But you can't just delete these records on the iPhone; you can only reset all trusted records at once via Settings → General → Reset → Reset Location & Privacy. By the way, to reset it, you will need to enter the lock code. Another way to delete trusted records is to reset the Network Settings. But Reset All Settings does not affect the trust records in any way (but it removes the password for the backup copy).
How real are the risks associated with computer analysis? According to information from the police themselves, the study of computers is carried out infrequently. As a rule, the police have the following obstacles:
obstacles of a legal nature: the existing resolution allows the search and analysis of evidence that the detainee had with him (but does not give permission to search the apartment);
time limits: the expert's work is put on stream. In routine cases, the expert does not have a month, a week, or even a few days to analyze all the available evidence in detail;
the BitLocker password is extremely strong. Head-on attacks are doomed if the police cannot extract a ready-made encryption key through, for example, a FireWire Attack;
superficial examination: as a result of a strict time frame, the contents of the hard disk are viewed for very specific files (photo and video materials, correspondence, messenger databases);
even if a full analysis is undertaken, very often the necessary passwords are not found in the browser cache;
even if the necessary passwords are present, there are no backups at all in the suspect's cloud, or there are enough recent backups. Even for iOS, this is a typical situation: if you leave all the default settings, then a meager 5 GB of free space in the cloud will be filled with synchronized photos in the shortest possible time. There will be no more space left for backups. But for Android users-it will remain: both backups and photos in "standard" quality are not counted in the already quite generous quota of 15 GB.
Conclusion
In this article, we took a detailed look at the risks and security settings that go far beyond the standard "set a lock code" and "enable two-factor authentication" tips. We hope that understanding the risks associated with your actions and settings will help you adequately assess the degree of security of your data — and, perhaps, strengthen the weak points without any noticeable inconvenience in the operation of the device.
Original message
Ты можешь выбрать самый стойкий код блокировки, но если в твоем телефоне используется шифрование FDE и ты не включил режим Secure Startup, то код блокировки может быть хоть в сотню символов длиной — шифрование все равно будет использовать фразу default_password. Отключение Smart Lock — необходимый, но недостаточный шаг; уверен ли ты в безопасности используемой в твоем устройстве технологии сканирования лица (если телефон ей оборудован)? А знаешь ли ты, что, просто зайдя на твой компьютер, можно извлечь все твои облачные пароли, после чего попросту сбросить код блокировки смартфона? (Работает, к счастью, не для всех устройств, но знать о такой возможности нужно.) Наконец, нужно отдавать себе отчет, что если с твоего компьютера будет получен пароль от облака (Google, Apple или Samsung), то сам телефон будет никому не нужен: все необходимые данные эксперт извлечет из облака (и, скорее всего, их там будет даже больше, чем в самом телефоне).
В этой статье мы не будем давать набивших оскомину советов «включить код блокировки» или «обновиться до последней версии ОС» (разумеется, ты это уже сделал). Вместо этого мы постараемся дать понимание всего спектра возможностей «тяжелой артиллерии», которая может быть использована против владельца телефона правоохранительными органами и спецслужбами для извлечения данных.
Как известно, самые сложные для работы экспертов случаи — обесточенный телефон, обнаруженный у безмолвного тела. Именно в таких обстоятельствах, как правило, начинается поиск всевозможных уязвимостей в программном и аппаратном обеспечении. В обыденных ситуациях полиция придет домой к подозреваемому, проведет анализ компьютера и извлечет кеш паролей из почтовых клиентов и браузеров Chrome/Mozilla/Edge. Затем достаточно зайти в облако с найденным логином и паролем, после чего остальное тривиально. В ряде случаев на телефоне можно удаленно сбросить пароль блокировки (сегодня, к счастью, многие производители не предлагают такой возможности по умолчанию). Телефон можно подключить к «осьминогу» UFED, который скопирует раздел данных и расшифрует его через одну из известных разработчикам уязвимостей или с использованием «расшифровывающего загрузчика» (decrypting bootloader в терминах Cellebrite) независимо от длины твоего пароля и наличия установленных обновлений.
Прочитав эту статью, ты будешь более полно осознавать возможности защитить свои данные и риски, которые останутся даже тогда, когда ты все сделал правильно.
Как будут взламывать твой iPhone
Сложность взлома iPhone отличается в зависимости от ряда факторов. Первый фактор: установленная версия iOS (ты ведь не думаешь, что советы «обновиться на последнюю доступную версию» появились на ровном месте?), сложность кода блокировки и то, в каком состоянии находится устройство (о нем — ниже).
Сначала — о версиях iOS. Если у тебя до сих пор установлена любая версия iOS 11, у меня для тебя плохая новость: для этой ОС доступен как взлом кода блокировки методом прямого перебора, так и полное (и очень быстрое) извлечение информации через физический доступ. Сложность кода блокировки и состояние устройства (включено-выключено, активирован ли защитный режим USB restricted mode и так далее) повлияют на скорость перебора.
Как будут взламывать iPhone с iOS 11
Если телефон был выключен: скорость перебора паролей будет очень медленной (одна попытка в десять секунд). Если ты установишь код блокировки из шести цифр, то перебирать его будут вечность.
Если телефон был включен и ты хотя бы раз разблокировал его после включения: первые 300 000 паролей будут опробованы очень быстро; скорость перебора такова, что четырехзначный код блокировки может быть взломан в течение получаса в полностью автоматическом режиме. Вывод? Используй шестизначный пароль.
Если ты успел воспользоваться режимом SOS (зажав кнопку питания и кнопку громкости): телефон снова переходит в режим «медленного» перебора. Шестизначный код блокировки в этом случае отличная защита.
Наконец, в iOS 11.4.1 появился режим USB restricted mode, позволяющий защитить устройство от взлома путем перебора паролей. В течение часа после последнего разблокирования iOS отключит доступ к USB-порту, после чего перебор паролей станет невозможным. Для того чтобы защита сработала, нужно оставить переключатель USB Accessories в положении «выключено». Впрочем, в последнее время активно циркулируют слухи, что разработчикам криминалистических комплексов удалось или вот-вот удастся обойти и эту защиту. Вывод? Да обновись ты до iOS 12, наконец!
Как будут взламывать iPhone с iOS 12
Ситуация с iOS 12 довольно интересна. Apple удалось закрыть ряд уязвимостей, которые делали возможным перебор паролей на устройствах с iOS 11. Более того, защитный режим USB restricted mode был усовершенствован: теперь USB-порт (а точнее, возможность передачи данных через физический коннектор Lightning) отключается сразу же, как только ты заблокируешь экран устройства. Правда, только в тех случаях, если ты как минимум три дня не подключал телефон к компьютеру, проводной аудиосистеме или другим аксессуарам; если же подключал, то будет как раньше — через час. Кроме того, USB-порт теперь отключается и при вызове режима SOS (зажать кнопку питания и громкости).
С другой стороны, в iOS 12 присутствуют уязвимости, перекочевавшие в систему еще из 11-й версии ОС. В iOS 12 вплоть до версии 12.1.2 не были закрыты две важные уязвимости, позволяющие через эскалацию привилегий получить полный доступ к файловой системе без установки полноценного джейлбрейка. Соответственно, если в руки экспертов телефон с iOS 12.1.2 или более старой попадет в разблокированном состоянии, то данные из него улетят со свистом. В iOS 12.1.3 часть уязвимостей была закрыта (не все: GrayKey по-прежнему способен извлечь образ файловой системы), но полностью обезопасить устройства от известных на сегодняшний день эксплоитов смогла только iOS 12.1.4, которая вышла буквально на днях. Вывод? В совете «обновись до последней доступной версии прошивки» все-таки что-то есть!
Итак, как именно будут пытаться взломать твой iPhone с iOS 12?
ф
Самый безопасный для тебя вариант — если в руки эксперта твой телефон попадет в выключенном состоянии. В этом случае начать перебор не удастся — по крайней мере до тех пор, пока разработчики не придумают, как обойти защитный режим USB (к слову, пока не придумали).
Если телефон был включен и разблокирован хотя бы раз после включения (но заблокирован на момент взлома), то сделать с ним что-то полезное тоже не получится. Да, можно попытаться подключить его к твоему компьютеру, чтобы создать резервную копию через iTunes; если не успел активироваться защитный режим USB и если ты хоть раз подключал свой iPhone к iTunes, то попытка может оказаться успешной. Как защититься? Установи длинный и сложный пароль на резервную копию.
Да, в iOS 12 (и в iOS 11) этот пароль можно сбросить — но только с самого iPhone и только если известен код блокировки. И даже тогда ты можешь дополнительно защитить пароль от сброса, установив пароль Screen Time.
Пароль Screen Time — не панацея. Вообще говоря, это «детская» защита, функция защиты от сброса пароля на резервную копию в ней вторична. Тем не менее обойти ее не получится даже перебором: iOS будет увеличивать задержки до тех пор, пока скорость перебора не упадет до одной попытки в час (начиная с десятой попытки).
Если забрали разблокированный телефон
В идеальном мире полиции пришлось бы проявить технические навыки и пользоваться блестящими устройствами, чтобы просто попытаться взломать твой смартфон. В большинстве же случаев полиция просто попытается извлечь из твоего смартфона максимум информации в рамках имеющихся полномочий за минимальное время. Уверенным голосом «попросить» разблокировать телефон, после чего унести разблокированный телефон в отдельную комнату — самый типичный случай для (не льсти себе) мелких правонарушителей. Давай посмотрим, что может сделать iOS для защиты твоих данных в этом случае.
Итак, вводная: iPhone разблокирован и передан сотруднику, но код блокировки ты не сообщал. (В скобках: и не сообщай, нет у тебя такой обязанности в случае обычного задержания.) Что будет происходить дальше?
Во-первых, сотрудник может просто вручную просмотреть интересующие его разделы в устройстве. Здесь и постинги в соцсетях (уверен, на тебя там ничего не найдут, но статья за лайки — она довольно гибкая), и переписка, и сообщения SMS/iMessage, и, разумеется, фотографии.
Будут извлечены данные приложения «Здоровье», из которых можно будет сделать выводы о том, что именно ты делал в тот или иной момент (в частности, будет видно — двигался ты или сидел на месте, а если двигался — то не бежал ли). Нам известен не один, не два и даже не десяток случаев, когда рутинное задержание вдруг превращалось в арест и предъявление обвинения по факту найденной в смартфоне информации.
Как защититься от анализа в этом режиме? Никак, только не передавать полиции разблокированное устройство. Не отдать телефон совсем ты не можешь, но вот отказаться его разблокировать — пока что еще твое право (исключения бывают, например при пересечении границы; мы про них писали). Здесь отметим, что даже на устройстве с разблокированным экраном без кода блокировки не удастся ни просмотреть пароли из «связки ключей», ни отключить Find My iPhone, ни сбросить пароль от резервной копии iTunes, если ты его установил, ни даже подключить телефон к компьютеру: для этого теперь тоже нужен код блокировки.
Во-вторых, телефон могут подключить к комплексу GrayKey или подобному (правда, «подобных» на самом деле нет, но мало ли? Вдруг китайские дубликаторы жестких дисков научатся взламывать iPhone?). В этом случае спасти может лишь свежая версия iOS: напомним, вплоть до iOS 12.1.3 включительно нет никакой проблемы с тем, чтобы извлечь из устройства образ файловой системы. В iOS 12.1.4 уязвимость была закрыта. Надолго ли? Пока неизвестно.
Наконец, из телефона могут попытаться извлечь данные в виде резервной копии. Для этого потребуется как минимум подключить телефон к компьютеру, для чего эксперту понадобится код блокировки экрана. Можно попытаться обойти этот момент, используя файл lockdown из твоего компьютера. Впрочем, если ты установишь пароль на резервную копию и защитишь его от сброса при помощи пароля Screen Time, ты можешь полностью обезопасить себя с этой стороны.
Вывод? Если ты разблокировал iPhone и на телефоне установлена последняя версия iOS (на сегодня это 12.1.4), сотрудник, скорее всего, будет вынужден ограничиться «ручным» анализом на экране самого телефона.
Как будут взламывать твой смартфон на Android
Как и в случае с iPhone, в полиции попытаются заставить тебя разблокировать устройство. Если им это удастся и ты передашь в руки полиции разблокированный телефон, расслабься: дальнейшее от тебя не зависит; ты выдал все, что было можно. В отличие от iOS, которая пытается хоть как-нибудь защитить тебя даже в таких ситуациях, с экрана разблокированного смартфона следователь получит:
Взлом кода блокировки экрана
Мне очень хотелось бы написать подробную статью о том, как и чем можно взломать заблокированный смартфон на Android, но, боюсь, это невозможно: на руках у пользователей тысячи разнообразных моделей, основанных на десятках чипсетов в сотнях вариаций. С учетом разнообразия прошивок, версий самого Android и доступности актуальных патчей безопасности (та самая проблема фрагментации Android) сложилась ситуация, в которой даже крупнейший производитель криминалистических продуктов не знает, с какими устройствами работает их комплекс. «Попробуйте подключить» — стандартный ответ на вопрос, поддерживает ли комплекс Х смартфон Y.
К примеру, простой вопрос: можно ли взломать код блокировки у конкретной модели смартфона, а главное — нужно ли это делать или можно обойтись и так? Многочисленные статьи по безопасности в один голос рекомендуют устанавливать стойкий код блокировки, умалчивая о том, что примерно для каждого второго смартфона это совершенно бесполезно. Как определить, имеет ли смысл заморачиваться со сложным кодом блокировки или нужно копать в другую сторону?
Ответ связан с алгоритмом шифрования, используемого в конкретном устройстве. Как ты помнишь, все смартфоны, вышедшие с завода с Android 6 и более поздними версиями, обязаны зашифровать пользовательские данные к моменту окончания начальной настройки. Однако шифрование шифрованию рознь. В большинстве старых устройств используется так называемое полнодисковое шифрование Full Disk Encryption (FDE). В режиме FDE данные на пользовательском разделе зашифрованы посредством device credentials — ключа шифрования, который генерируется на основе некоего аппаратного ключа и фразы default_password.
Да, именно так — default_password защищает все твои данные. И что же, все пропало? Любой желающий может взять и расшифровать информацию? Не совсем. Ключ шифрования генерируется внутри Trusted Execution Environment (TEE) в момент загрузки устройства; в качестве исходных данных участвует уникальный для каждого устройства ключ, который за пределы TEE не выходит. Если из телефона извлечь чип памяти и скопировать из него информацию, то расшифровать данные без ключа из TEE не удастся. Соответственно, для расшифровки информации потребуется не просто вытащить из телефона данные (например, через режим EDL), а еще и взломать TEE или подменить загрузчик. В принципе, такие «расшифровывающие загрузчики» (decrypting bootloader) существуют, например у Cellebrite для целого ряда моделей, а иногда и целых семейств моделей, объединенных общим чипсетом. Тем не менее для использования этой возможности понадобится специальный комплекс, который и извлечет данные.
Даже если в твоем телефоне используется устаревшая защита FDE, ты можешь надежно защитить свои данные, активировав режим Secure Startup. В этом режиме ключ шифрования будет перешифрован данными аппаратного ключа и твоего кода блокировки (вместо default_password). Недостаток у этого метода тоже есть: телефон просто не загрузится вплоть до момента ввода кода блокировки; если твой телефон случайно перезагрузится, то ты не сможешь даже ответить на звонок, пока телефон не загрузится до конца.
Этот недостаток полностью устранен в новой пофайловой схеме шифрования, получившей название File Based Encryption (FBE). Устройства, зашифрованные FBE, используют user credentials (код блокировки) для шифрования большей части информации, в том числе всех персональных данных. При этом исполняемые файлы приложений, а также некоторые базы данных, необходимые для загрузки устройства, будут зашифрованы посредством device credentials (то есть данных исключительно аппаратного ключа). Режима Secure Startup при использовании FBE нет за ненужностью.
Для расшифровки данных как устройств с FDE, использующих режим Secure Startup, так и устройств с FBE необходимо взломать код блокировки. Конкретные процедуры отличаются в зависимости от чипсета, но общий принцип один: подключиться к USB-порту и запустить процедуру перебора.
Разумеется, в телефонах есть встроенная защита от таких атак. Мы уже описывали Qualcomm TrustZone, в рамках которой работает Trusted Execution Environment (TEE). В ней могут запускаться только так называемые трастлеты (trustlets), своеобразные микроприложения, подписанные ключом, который проверяется самой TEE. Именно здесь реализована проверка пасскода (через сервис GateKeeper). GateKeeper, в свою очередь, на аппаратном уровне ограничивает скорость перебора паролей; быстро перебрать даже код из четырех цифр не получится, а шесть цифр можно перебирать до бесконечности. Именно GateKeeper не даст взломать телефон, когда включен Secure Startup или если используется шифрование FBE.
Если есть защита, то будут и попытки ее взломать. В частности, для процессоров Qualcomm до Snapdragon 821 включительно существует эксплоит, позволяющий запустить на выполнение собственный трастлет и обойти ограничение на скорость перебора. В реальности же разработчики криминалистических комплексов относятся к этой уязвимости как к зубной боли: с одной стороны, уязвимость существует, она мозолит глаза; заказчики ее хотят. С другой — воспользоваться ей очень трудно: для каждого устройства нужно писать свой код, подбирать смещения, тестировать… Если бы речь шла об iPhone, количество актуальных чипсетов которого можно пересчитать по пальцам одной руки, — поддержка уязвимости такого уровня была бы реализована еще вчера. Но сотни модификаций чипсетов, использующихся в смартфонах с Android (причем каждая модель, для которой нужно запускать процесс разработки, попадет в руки полиции в единичных экземплярах), делают такую разработку экономически нецелесообразной.
Для флагманских смартфонов на процессорах Qualcomm возможность вытащить данные через уязвимости выглядит приблизительно так:
Как защитить свой смартфон от взлома кода блокировки и физического извлечения данных
Для начала проверь, какая система шифрования используется на твоем устройстве. Для этого выполни через ADB следующую команду:
$ adb shell getprop ro.crypto.type
Если команда вернула слово file, то твой смартфон использует шифрование FBE.
Если используется пофайловое шифрование FBE:
Общие рекомендации
Какие рекомендации обычно дают статьи, посвященные безопасности Android? Использовать код блокировки посложнее или паттерн подлиннее; отключить Smart Lock; обновить Android; включить двухфакторную аутентификацию. Советы звучат логично, но при этом исключительно поверхностно, в стиле «информационная безопасность для блондинок». Между тем для каждого второго смартфона на Android длина кода блокировки никак не влияет на безопасность; отключение Smart Lock бесполезно, если пользователь включил (или забыл выключить) отладочный режим USB debugging, а проверять обновления Android нет смысла, если производитель твоего устройства затягивает с обновлениями.
Для начала составим свой список рекомендаций, а потом пройдемся по некоторым пунктам подробно.
Отложенная блокировка
Когда-то давно ввод кода блокировки был единственным, медленным и неудобным способом разблокировать экран телефона. Многим пользователям постоянный ввод пароля представлялся неудобным; они отказывались от защиты в пользу удобства и скорости. Отложенная блокировка стала логичной реакцией на проблему со стороны как Google, так и Apple.
При активации соответствующей опции можно было отключить дисплей телефона кнопкой, включить его снова — и попасть сразу на домашний экран. Задержку можно настраивать в зависимости от собственных предпочтений. Нужно ли говорить, что задержка блокировки катастрофически снижает уровень безопасности? Представь ситуацию: ты идешь по улице, уткнувшись в телефон, и вдруг упираешься в грудь полицейского. Рефлекторно жмешь кнопку отключения дисплея, после чего тебя задерживают. Телефон у тебя конфискуют, включают экран — и сразу же попадают на домашний экран. Пароли, коды блокировки, заблокированный загрузчик, шифрование и многие другие вещи уже не будут иметь значения.
В iOS есть аналогичная настройка: Settings → Touch ID & Passcode → Require Passcode. Ее предназначение примерно такое же, как в смартфонах с Android, за одним важным отличием: если ты используешь Touch ID или Face ID, в современных версиях iOS единственным доступным вариантом выбора будет Immediately (то есть блокировать сразу после отключения экрана). А вот если ты отключишь биометрику, оставив только код блокировки, то станут доступными и другие варианты вплоть до Never (запрашивать код блокировки только после первой загрузки и время от времени согласно постоянно меняющимся политикам Apple). Обрати внимание: некоторые варианты могут быть недоступны, если на твоем устройстве установлена внешняя политика безопасности.
Smart Lock
Почему все так ополчились на функцию Smart Lock? Дело в том, что эта функция позволяет разблокировать телефон, используя методы, которые не имеют ничего общего с безопасностью. Рассмотрим на примерах.
Face Unlock. Разблокировка по лицу в разделе Smart Lock не имеет ничего общего с биометрической аутентификацией. Это — всего лишь сличение образа пользователя с фотографией, сделанной на фронтальную камеру устройства. Такой Face Unlock легко обманывается плоской фотографией. Обрати внимание: в телефонах, оборудованных биометрической функцией Face Unlock (например, Xiaomi Mi 8), этого пункта в настройках не будет; в таких устройствах Face Unlock подчиняется тем же требованиям и правилам, что и разблокировка по датчику отпечатка пальцев.
Trusted places. Автоматически разблокирует устройства в окрестностях тех мест, где ты часто бываешь. Если телефон вытащат из твоего кармана возле дома, у злоумышленника не возникнет никаких проблем с его разблокировкой.
Trusted devices. Если подключено доверенное устройство Bluetooth, телефон может быть разблокирован автоматически. Поверь, у полиции не возникнет затруднений использовать твои умные часы или трекер для такой разблокировки.
Voice Match, On-body detection. В какой-то степени экспериментальные варианты, позволяющие пользователям реже разблокировать устройство кодом блокировки.
Если Smart Lock настолько небезопасен, почему он вообще есть в Android? Smart Lock — тяжкое наследие тех времен, когда ввод кода блокировки или паттерна был единственным способом разблокировать телефон. Подавляющему большинству пользователей не нравилось, что на разблокировку устройства тратятся драгоценные секунды (а разблокировать телефон в перчатках было той еще задачей); в результате многие не устанавливали никакой защиты вообще. Для того чтобы хоть как-то приучить пользователей к установке кода блокировки, Google пришлось сильно занизить планку: так, появились опции, позволяющие отсрочить блокировку экрана на 10–15 минут с момента последней разблокировки. Smart Lock — из той же оперы. Никакой разумной нужды что в Smart Lock, что в отложенной блокировке уже не осталось: современные сканеры отпечатков пальцев срабатывают чуть быстрее, чем просто «мгновенно», а разблокировка по лицу достигла достаточно высоких уровней скорости и безопасности.
Разблокировка по лицу
Насколько безопасна разблокировка по лицу? Мы не стали писать об этом в разделе про iPhone; в них используется система с достаточным уровнем технической безопасности. В смартфонах с Android производители устанавливают модули разблокировки по лицу, безопасность которых находится в пределах от «хорошо» до «тот же Smart Lock, вид сбоку». Так, в смартфонах Samsung есть режим, комбинирующий образ лица со сканированием радужной оболочки глаза; обмануть такую систему трехмерной моделью головы не удастся. Аналогичные системы стали появляться во флагманских устройствах Huawei, Xiaomi и многих других. В то же время в ряде устройств используются гораздо более примитивные системы, основанные или на фотографии с фронтальной камеры, или на двумерном фото с инфракрасного датчика. Обмануть такие системы вполне возможно, иногда — очень просто. Как правильно заметили в статье «Разблокировка по лицу — не лучшая идея», подход «Мой телефон умеет все то же, что и твой iPhone, — и стоит в десять раз меньше!» будет встречаться все чаще.
Особняком стоит правовой аспект разблокировки по лицу. В США был создан ряд прецедентов, регулирующих возможности полиции разблокировать устройство, сканируя лицо подозреваемого. Имеются как положительные (разрешение на разблокировку по лицу было выдано), так и отрицательные (разрешение не было выдано или было выдано неправомерно) прецеденты, и благодаря им установлены достаточно четкие правовые рамки, переходить которые полицейские в большинстве случаев не станут.
В то же время в России мы неоднократно слышали об историях, когда телефон «случайно» поворачивался в сторону задержанного, после чего «сам собой» разблокировался. Доказать, что телефон был разблокирован с нарушением правовых норм, в таких случаях очень тяжело: нательными камерами, как в США, российские полицейские пока не оснащены.
Использовать или не использовать разблокировку по лицу — вопрос открытый, и ответ на него лежит не только в технической области; решать в любом случае тебе. Автор этого текста такую возможность использует.
Безопасность небезопасного
А что можно сделать, если у тебя на руках откровенно «дырявый» телефон с разблокированным загрузчиком или перепрошитый ушлыми продавцами «китаец»? В этом случае говорить о серьезной безопасности, конечно, не приходится, но кое-что ты сделать все-таки сможешь.
Первый и самый простой вариант: у тебя на руках телефон, загрузчик которого разблокирован (например, предыдущим владельцем). Часто подобные ситуации осложняются тем, что на телефоне установлена кастомная прошивка, есть root-доступ, модифицирован системный раздел или и вовсе непонятно, что там творится. В большинстве случаев такой телефон можно вернуть в «заводское» состояние, прошив его на заводскую прошивку (где скачать, посоветуют на XDA или 4PDA), после чего загрузчик можно заблокировать командой fastboot oem lock. Особенно это рекомендуем проделать с китайскими устройствами, на которые хитрые продавцы часто (чаще, чем ты можешь себе представить!) устанавливают прошивки с самыми разнообразными сюрпризами.
Обрати внимание: данная стратегия не сработает со свежими телефонами Xiaomi, перепрошитыми с китайского стока на «глобальную» версию MIUI. Если ты попробуешь заблокировать загрузчик на таком устройстве, получишь «кирпич», восстановить который может быть очень и очень трудно. Если все-таки решишь попробовать — хотя бы заведи на телефоне Xiaomi Account, чтобы впоследствии, если что-то пойдет не так, ты мог воспользоваться утилитой Mi Unlock для разблокировки загрузчика.
Но что, если загрузчик нельзя заблокировать (так часто бывает на многих китайских устройствах)? Значит, тебе не повезло. Впрочем, если ты приобрел такое устройство, то, вероятно, безопасность — последняя из проблем такого телефона. Теоретически даже на таких устройствах будет работать шифрование, которое не позволит просто так считать данные. На практике же взлом таких устройств обычно не представляет никакой проблемы. Единственное, что ты можешь попытаться сделать, — настроить Secure Startup; в этом режиме ключ шифрования данных будет генерироваться на основе кода блокировки. Достаточно длинный код блокировки увеличит время, которое потребуется на взлом.
Что делать, если ты приобрел телефон, который ведет себя странно? При малейшем подозрении на вредоносное ПО в прошивке зайди в профильную ветку на 4PDA. Вполне вероятно, что ты с такой проблемой не один и на форуме уже есть подробные инструкции по удалению или заморозке малвари.
А что делать, если производитель не выпускает обновлений, а в прошивке прочно прописались зловредные компоненты? Конечно, разумным поступком было бы избавиться от такого устройства, но в реальном мире так мало кто делает. Поэтому рекомендация: попробуй разблокировать загрузчик (хуже уже не станет) и установить на телефон официальную сборку Lineage OS. В официальных сборках Lineage (в отличие от, например, Resurrection Remix) все хорошо и с приватностью, и с шифрованием, и с обновлениями «по воздуху». В зависимости от доступной для твоего устройства версии прошивки может использоваться шифрование как FDE, так и FBE; в первом случае рекомендуем настроить Secure Startup. Если же сборок Lineage нет или разблокировать загрузчик невозможно, то даже ребенку я бы такой телефон отдавать не стал.
Если забрали компьютер
Обсудив защищенность твоих данных в мобильном устройстве, поговорим о том, как анализ компьютера может повлиять на безопасность твоих мобильных устройств. Если эксперт получил доступ к твоему компьютеру, а полнодисковое шифрование (например, посредством BitLocker) ты не используешь, то запуском простой утилиты и одним-двумя ленивыми кликами мышки будут извлечены все логины и пароли от всех твоих учетных записей. Откуда? Из базы данных твоего любимого браузера: Chrome, Mozilla, Edge… Пользуешься менеджером паролей? Если разработка тебя в качестве подозреваемого представляет хоть какой-то интерес, то к базе данных паролехранилки попытаются подобрать пароль (тут, впрочем, результат не гарантирован).
Что произойдет, когда пароли будут извлечены? В зависимости от того, каким смартфоном ты пользуешься, эксперт запустит еще одно приложение, которое извлечет всю информацию из облака Apple, Google или, к примеру, Samsung. (В скобках: если ты пользуешься смартфоном Samsung, то знаешь ли ты, что именно хранится в соответствующем облаке, даже если ты не включал его сознательно?)
Если ты пользуешься iPhone, из облака можно извлечь:
Если у тебя телефон Samsung, то можно вытащить еще кое-что из собственного облака Samsung. Мы понимаем, что для многих читателей наличие у Samsung собственного облачного сервиса станет сюрпризом, а то, что в нем, оказывается, хранятся какие-то данные (и ты с этим в какой-то момент успел согласиться), может сильно удивить. В облаке Samsung можно найти:
Помочь может многослойная защита.
Во-первых, обеспечь физическую безопасность компьютера, включив шифрование системного диска через BitLocker. Кстати, убедись, что ключ шифрования BitLocker Recovery Key не «утек» в облако OneDrive (проверить можно тут) или не сохранился в Active Directory.
Если ты живешь в России, то просто так взять и зашифровать системный диск у тебя не получится. Для того чтобы включить шифрование, тебе нужна как минимум профессиональная редакция Windows и аппаратный модуль доверенной загрузки TPM 2.0. Именно в аппаратном модуле должен храниться сам ключ шифрования, при помощи которого будет зашифрован раздел. Модули TPM 2.0 не получили сертификации ФСБ; соответственно, все продающиеся на территории РФ компьютеры не должны включать этот модуль по умолчанию, даже если он физически распаян на материнской плате. Варианты? Если есть возможность активировать TPM 2.0 в настройках BIOS — сделай это и включи BitLocker. Если такой возможности нет, то разрешить шифрование системного раздела при помощи BitLocker получится и без аппаратного модуля. Сделать это можно вручную, отредактировав групповые политики Windows. Подробности — по ссылке.
Следующий слой защиты — пароли для облачных учетных записей. Для облачных сервисов Google, Apple, Samsung, Xiaomi используй уникальные пароли, непохожие на все те, что записаны в хранилище браузера. Запусти свой любимый, не самый любимый и совсем нелюбимый браузеры и убедись, что в их хранилище нет данных перечисленных выше учетных записей. Если используешь Chrome — выйди из учетной записи Google. Сотри кеш и куки браузера, после чего закрой все окна. Всё, на какое-то время (пока ты снова не войдешь в Google Account) ты защищен от облачного вектора атаки.
Использование такой системы незначительно повлияет на удобство повседневного использования, но существенно повысит безопасность.
Lockdown
У пользователей iPhone есть дополнительный фактор риска: файл lockdown, он же — iTunes pairing record. Эти файлы создаются при подключении iPhone или iPad к компьютеру, на котором установлено приложение iTunes; они нужны для того, чтобы при помощи iTunes можно было синхронизировать устройство с компьютером без постоянного ввода кода блокировки. С одной стороны, наличие механизма pairing record — это удобство. С другой — уязвимость. Так, инструменты «Элкомсофт» позволяют использовать файлы lockdown для создания резервной копии телефона, даже если экран заблокирован (но сам телефон был разблокирован хотя бы раз с момента загрузки). Решение GrayKey в тех же условиях и вовсе позволяет создать полный образ файловой системы (правда, пока только для iOS 11).
Как защититься? С одной стороны, можно удалить файлы lockdown с компьютера; на Windows 10 они находятся в папке C:\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup (если ты устанавливал iTunes с сайта Apple) или в папке C:\Users\<username>\Apple\MobileSync\Backup (если ты используешь версию iTunes из Microsoft Store).
А вот просто так удалить эти записи на iPhone нельзя; можно лишь сбросить все доверенные записи сразу через Settings → General → Reset → Reset Location & Privacy. Кстати, для сброса нужно будет ввести код блокировки. Другой способ удалить доверенные записи — сброс настроек Reset Network Settings. А вот Reset All Settings на записи доверия не влияет никак (зато удаляет пароль на резервную копию).
Насколько реальны риски, связанные с анализом компьютера? По информации от самих полицейских, исследование компьютеров проводят нечасто. Как правило, у полиции возникают следующие препятствия:
Заключение
В этой статье мы подробно рассмотрели риски и настройки безопасности, выходящие далеко за рамки стандартных советов «установить код блокировки» и «включить двухфакторную аутентификацию». Надеемся, что понимание рисков, связанных с теми или иными твоими действиями и настройками, поможет тебе адекватно оценить степень безопасности твоих данных — и, возможно, укрепить слабые места без каких-либо заметных неудобств в работе устройства.
В этой статье мы не будем давать набивших оскомину советов «включить код блокировки» или «обновиться до последней версии ОС» (разумеется, ты это уже сделал). Вместо этого мы постараемся дать понимание всего спектра возможностей «тяжелой артиллерии», которая может быть использована против владельца телефона правоохранительными органами и спецслужбами для извлечения данных.
Как известно, самые сложные для работы экспертов случаи — обесточенный телефон, обнаруженный у безмолвного тела. Именно в таких обстоятельствах, как правило, начинается поиск всевозможных уязвимостей в программном и аппаратном обеспечении. В обыденных ситуациях полиция придет домой к подозреваемому, проведет анализ компьютера и извлечет кеш паролей из почтовых клиентов и браузеров Chrome/Mozilla/Edge. Затем достаточно зайти в облако с найденным логином и паролем, после чего остальное тривиально. В ряде случаев на телефоне можно удаленно сбросить пароль блокировки (сегодня, к счастью, многие производители не предлагают такой возможности по умолчанию). Телефон можно подключить к «осьминогу» UFED, который скопирует раздел данных и расшифрует его через одну из известных разработчикам уязвимостей или с использованием «расшифровывающего загрузчика» (decrypting bootloader в терминах Cellebrite) независимо от длины твоего пароля и наличия установленных обновлений.
Прочитав эту статью, ты будешь более полно осознавать возможности защитить свои данные и риски, которые останутся даже тогда, когда ты все сделал правильно.
Как будут взламывать твой iPhone
Сложность взлома iPhone отличается в зависимости от ряда факторов. Первый фактор: установленная версия iOS (ты ведь не думаешь, что советы «обновиться на последнюю доступную версию» появились на ровном месте?), сложность кода блокировки и то, в каком состоянии находится устройство (о нем — ниже).
Сначала — о версиях iOS. Если у тебя до сих пор установлена любая версия iOS 11, у меня для тебя плохая новость: для этой ОС доступен как взлом кода блокировки методом прямого перебора, так и полное (и очень быстрое) извлечение информации через физический доступ. Сложность кода блокировки и состояние устройства (включено-выключено, активирован ли защитный режим USB restricted mode и так далее) повлияют на скорость перебора.
Как будут взламывать iPhone с iOS 11
Если телефон был выключен: скорость перебора паролей будет очень медленной (одна попытка в десять секунд). Если ты установишь код блокировки из шести цифр, то перебирать его будут вечность.
Если телефон был включен и ты хотя бы раз разблокировал его после включения: первые 300 000 паролей будут опробованы очень быстро; скорость перебора такова, что четырехзначный код блокировки может быть взломан в течение получаса в полностью автоматическом режиме. Вывод? Используй шестизначный пароль.
Если ты успел воспользоваться режимом SOS (зажав кнопку питания и кнопку громкости): телефон снова переходит в режим «медленного» перебора. Шестизначный код блокировки в этом случае отличная защита.
Наконец, в iOS 11.4.1 появился режим USB restricted mode, позволяющий защитить устройство от взлома путем перебора паролей. В течение часа после последнего разблокирования iOS отключит доступ к USB-порту, после чего перебор паролей станет невозможным. Для того чтобы защита сработала, нужно оставить переключатель USB Accessories в положении «выключено». Впрочем, в последнее время активно циркулируют слухи, что разработчикам криминалистических комплексов удалось или вот-вот удастся обойти и эту защиту. Вывод? Да обновись ты до iOS 12, наконец!
Как будут взламывать iPhone с iOS 12
Ситуация с iOS 12 довольно интересна. Apple удалось закрыть ряд уязвимостей, которые делали возможным перебор паролей на устройствах с iOS 11. Более того, защитный режим USB restricted mode был усовершенствован: теперь USB-порт (а точнее, возможность передачи данных через физический коннектор Lightning) отключается сразу же, как только ты заблокируешь экран устройства. Правда, только в тех случаях, если ты как минимум три дня не подключал телефон к компьютеру, проводной аудиосистеме или другим аксессуарам; если же подключал, то будет как раньше — через час. Кроме того, USB-порт теперь отключается и при вызове режима SOS (зажать кнопку питания и громкости).
С другой стороны, в iOS 12 присутствуют уязвимости, перекочевавшие в систему еще из 11-й версии ОС. В iOS 12 вплоть до версии 12.1.2 не были закрыты две важные уязвимости, позволяющие через эскалацию привилегий получить полный доступ к файловой системе без установки полноценного джейлбрейка. Соответственно, если в руки экспертов телефон с iOS 12.1.2 или более старой попадет в разблокированном состоянии, то данные из него улетят со свистом. В iOS 12.1.3 часть уязвимостей была закрыта (не все: GrayKey по-прежнему способен извлечь образ файловой системы), но полностью обезопасить устройства от известных на сегодняшний день эксплоитов смогла только iOS 12.1.4, которая вышла буквально на днях. Вывод? В совете «обновись до последней доступной версии прошивки» все-таки что-то есть!
Итак, как именно будут пытаться взломать твой iPhone с iOS 12?
ф
Самый безопасный для тебя вариант — если в руки эксперта твой телефон попадет в выключенном состоянии. В этом случае начать перебор не удастся — по крайней мере до тех пор, пока разработчики не придумают, как обойти защитный режим USB (к слову, пока не придумали).
Если телефон был включен и разблокирован хотя бы раз после включения (но заблокирован на момент взлома), то сделать с ним что-то полезное тоже не получится. Да, можно попытаться подключить его к твоему компьютеру, чтобы создать резервную копию через iTunes; если не успел активироваться защитный режим USB и если ты хоть раз подключал свой iPhone к iTunes, то попытка может оказаться успешной. Как защититься? Установи длинный и сложный пароль на резервную копию.
Да, в iOS 12 (и в iOS 11) этот пароль можно сбросить — но только с самого iPhone и только если известен код блокировки. И даже тогда ты можешь дополнительно защитить пароль от сброса, установив пароль Screen Time.
Пароль Screen Time — не панацея. Вообще говоря, это «детская» защита, функция защиты от сброса пароля на резервную копию в ней вторична. Тем не менее обойти ее не получится даже перебором: iOS будет увеличивать задержки до тех пор, пока скорость перебора не упадет до одной попытки в час (начиная с десятой попытки).
Если забрали разблокированный телефон
В идеальном мире полиции пришлось бы проявить технические навыки и пользоваться блестящими устройствами, чтобы просто попытаться взломать твой смартфон. В большинстве же случаев полиция просто попытается извлечь из твоего смартфона максимум информации в рамках имеющихся полномочий за минимальное время. Уверенным голосом «попросить» разблокировать телефон, после чего унести разблокированный телефон в отдельную комнату — самый типичный случай для (не льсти себе) мелких правонарушителей. Давай посмотрим, что может сделать iOS для защиты твоих данных в этом случае.
Итак, вводная: iPhone разблокирован и передан сотруднику, но код блокировки ты не сообщал. (В скобках: и не сообщай, нет у тебя такой обязанности в случае обычного задержания.) Что будет происходить дальше?
Во-первых, сотрудник может просто вручную просмотреть интересующие его разделы в устройстве. Здесь и постинги в соцсетях (уверен, на тебя там ничего не найдут, но статья за лайки — она довольно гибкая), и переписка, и сообщения SMS/iMessage, и, разумеется, фотографии.
Будут извлечены данные приложения «Здоровье», из которых можно будет сделать выводы о том, что именно ты делал в тот или иной момент (в частности, будет видно — двигался ты или сидел на месте, а если двигался — то не бежал ли). Нам известен не один, не два и даже не десяток случаев, когда рутинное задержание вдруг превращалось в арест и предъявление обвинения по факту найденной в смартфоне информации.
Как защититься от анализа в этом режиме? Никак, только не передавать полиции разблокированное устройство. Не отдать телефон совсем ты не можешь, но вот отказаться его разблокировать — пока что еще твое право (исключения бывают, например при пересечении границы; мы про них писали). Здесь отметим, что даже на устройстве с разблокированным экраном без кода блокировки не удастся ни просмотреть пароли из «связки ключей», ни отключить Find My iPhone, ни сбросить пароль от резервной копии iTunes, если ты его установил, ни даже подключить телефон к компьютеру: для этого теперь тоже нужен код блокировки.
Во-вторых, телефон могут подключить к комплексу GrayKey или подобному (правда, «подобных» на самом деле нет, но мало ли? Вдруг китайские дубликаторы жестких дисков научатся взламывать iPhone?). В этом случае спасти может лишь свежая версия iOS: напомним, вплоть до iOS 12.1.3 включительно нет никакой проблемы с тем, чтобы извлечь из устройства образ файловой системы. В iOS 12.1.4 уязвимость была закрыта. Надолго ли? Пока неизвестно.
Наконец, из телефона могут попытаться извлечь данные в виде резервной копии. Для этого потребуется как минимум подключить телефон к компьютеру, для чего эксперту понадобится код блокировки экрана. Можно попытаться обойти этот момент, используя файл lockdown из твоего компьютера. Впрочем, если ты установишь пароль на резервную копию и защитишь его от сброса при помощи пароля Screen Time, ты можешь полностью обезопасить себя с этой стороны.
Вывод? Если ты разблокировал iPhone и на телефоне установлена последняя версия iOS (на сегодня это 12.1.4), сотрудник, скорее всего, будет вынужден ограничиться «ручным» анализом на экране самого телефона.
Как будут взламывать твой смартфон на Android
Как и в случае с iPhone, в полиции попытаются заставить тебя разблокировать устройство. Если им это удастся и ты передашь в руки полиции разблокированный телефон, расслабься: дальнейшее от тебя не зависит; ты выдал все, что было можно. В отличие от iOS, которая пытается хоть как-нибудь защитить тебя даже в таких ситуациях, с экрана разблокированного смартфона следователь получит:
- разумеется, доступ ко всему содержимому карты памяти (виртуальной и реальной), включая фото и видео;
- почту, переписку в мессенджерах, тексты SMS;
- полный список паролей, сохраненных в Chrome (частенько там можно найти и пароль от твоего Google Account — кстати, проверь, так ли это);
- подробную историю местоположения. Очень подробную;
- данные Google Fit. Их можно экспортировать;
- звонки, контакты.
Взлом кода блокировки экрана
Мне очень хотелось бы написать подробную статью о том, как и чем можно взломать заблокированный смартфон на Android, но, боюсь, это невозможно: на руках у пользователей тысячи разнообразных моделей, основанных на десятках чипсетов в сотнях вариаций. С учетом разнообразия прошивок, версий самого Android и доступности актуальных патчей безопасности (та самая проблема фрагментации Android) сложилась ситуация, в которой даже крупнейший производитель криминалистических продуктов не знает, с какими устройствами работает их комплекс. «Попробуйте подключить» — стандартный ответ на вопрос, поддерживает ли комплекс Х смартфон Y.
К примеру, простой вопрос: можно ли взломать код блокировки у конкретной модели смартфона, а главное — нужно ли это делать или можно обойтись и так? Многочисленные статьи по безопасности в один голос рекомендуют устанавливать стойкий код блокировки, умалчивая о том, что примерно для каждого второго смартфона это совершенно бесполезно. Как определить, имеет ли смысл заморачиваться со сложным кодом блокировки или нужно копать в другую сторону?
Ответ связан с алгоритмом шифрования, используемого в конкретном устройстве. Как ты помнишь, все смартфоны, вышедшие с завода с Android 6 и более поздними версиями, обязаны зашифровать пользовательские данные к моменту окончания начальной настройки. Однако шифрование шифрованию рознь. В большинстве старых устройств используется так называемое полнодисковое шифрование Full Disk Encryption (FDE). В режиме FDE данные на пользовательском разделе зашифрованы посредством device credentials — ключа шифрования, который генерируется на основе некоего аппаратного ключа и фразы default_password.
Да, именно так — default_password защищает все твои данные. И что же, все пропало? Любой желающий может взять и расшифровать информацию? Не совсем. Ключ шифрования генерируется внутри Trusted Execution Environment (TEE) в момент загрузки устройства; в качестве исходных данных участвует уникальный для каждого устройства ключ, который за пределы TEE не выходит. Если из телефона извлечь чип памяти и скопировать из него информацию, то расшифровать данные без ключа из TEE не удастся. Соответственно, для расшифровки информации потребуется не просто вытащить из телефона данные (например, через режим EDL), а еще и взломать TEE или подменить загрузчик. В принципе, такие «расшифровывающие загрузчики» (decrypting bootloader) существуют, например у Cellebrite для целого ряда моделей, а иногда и целых семейств моделей, объединенных общим чипсетом. Тем не менее для использования этой возможности понадобится специальный комплекс, который и извлечет данные.
Даже если в твоем телефоне используется устаревшая защита FDE, ты можешь надежно защитить свои данные, активировав режим Secure Startup. В этом режиме ключ шифрования будет перешифрован данными аппаратного ключа и твоего кода блокировки (вместо default_password). Недостаток у этого метода тоже есть: телефон просто не загрузится вплоть до момента ввода кода блокировки; если твой телефон случайно перезагрузится, то ты не сможешь даже ответить на звонок, пока телефон не загрузится до конца.
Этот недостаток полностью устранен в новой пофайловой схеме шифрования, получившей название File Based Encryption (FBE). Устройства, зашифрованные FBE, используют user credentials (код блокировки) для шифрования большей части информации, в том числе всех персональных данных. При этом исполняемые файлы приложений, а также некоторые базы данных, необходимые для загрузки устройства, будут зашифрованы посредством device credentials (то есть данных исключительно аппаратного ключа). Режима Secure Startup при использовании FBE нет за ненужностью.
Для расшифровки данных как устройств с FDE, использующих режим Secure Startup, так и устройств с FBE необходимо взломать код блокировки. Конкретные процедуры отличаются в зависимости от чипсета, но общий принцип один: подключиться к USB-порту и запустить процедуру перебора.
Разумеется, в телефонах есть встроенная защита от таких атак. Мы уже описывали Qualcomm TrustZone, в рамках которой работает Trusted Execution Environment (TEE). В ней могут запускаться только так называемые трастлеты (trustlets), своеобразные микроприложения, подписанные ключом, который проверяется самой TEE. Именно здесь реализована проверка пасскода (через сервис GateKeeper). GateKeeper, в свою очередь, на аппаратном уровне ограничивает скорость перебора паролей; быстро перебрать даже код из четырех цифр не получится, а шесть цифр можно перебирать до бесконечности. Именно GateKeeper не даст взломать телефон, когда включен Secure Startup или если используется шифрование FBE.
Если есть защита, то будут и попытки ее взломать. В частности, для процессоров Qualcomm до Snapdragon 821 включительно существует эксплоит, позволяющий запустить на выполнение собственный трастлет и обойти ограничение на скорость перебора. В реальности же разработчики криминалистических комплексов относятся к этой уязвимости как к зубной боли: с одной стороны, уязвимость существует, она мозолит глаза; заказчики ее хотят. С другой — воспользоваться ей очень трудно: для каждого устройства нужно писать свой код, подбирать смещения, тестировать… Если бы речь шла об iPhone, количество актуальных чипсетов которого можно пересчитать по пальцам одной руки, — поддержка уязвимости такого уровня была бы реализована еще вчера. Но сотни модификаций чипсетов, использующихся в смартфонах с Android (причем каждая модель, для которой нужно запускать процесс разработки, попадет в руки полиции в единичных экземплярах), делают такую разработку экономически нецелесообразной.
Для флагманских смартфонов на процессорах Qualcomm возможность вытащить данные через уязвимости выглядит приблизительно так:
- для старых устройств (до Snapdragon 821 включительно) с эксплоитами иногда можно взломать пасскод, если не установлен Secure Startup (способов обнаружено множество);
- для старых устройств с включенным Secure Startup либо с шифрованием FBE скорость перебора ограничена GateKeeper. Атака на «холодное» устройство (после перезагрузки или включения) практически не реализуется за исключением единичных популярных моделей (проблема «неуловимого Джо»);
- для новых устройств (со Snapdragon 835 и новее) недоступны эксплоиты EDL, недоступен эксплоит TEE и даже в редких случаях, когда используется шифрование FDE, расшифровать содержимое раздела данных довольно непросто (но в отдельных случаях можно, эксплоиты существуют);
- наконец, для новых устройств (SD835 и новее), использующих шифрование FBE, никакие эксплоиты не работают: ключ шифрования зависит от пароля, а перебор очень медленный (GateKeeper).
Как защитить свой смартфон от взлома кода блокировки и физического извлечения данных
Для начала проверь, какая система шифрования используется на твоем устройстве. Для этого выполни через ADB следующую команду:
$ adb shell getprop ro.crypto.type
Если команда вернула слово file, то твой смартфон использует шифрование FBE.
Если используется пофайловое шифрование FBE:
- установи код блокировки длиной не менее шести цифр (если позволяет устройство);
- отключи отладочный режим USB Debugging.
- зайди в настройки и удали текущий код блокировки;
- создай новый код блокировки. Система запросит, хочешь ли ты включить режим безопасной загрузки. Подтверди запрос;
- не забудь отключить отладочный режим USB Debugging.
Общие рекомендации
Какие рекомендации обычно дают статьи, посвященные безопасности Android? Использовать код блокировки посложнее или паттерн подлиннее; отключить Smart Lock; обновить Android; включить двухфакторную аутентификацию. Советы звучат логично, но при этом исключительно поверхностно, в стиле «информационная безопасность для блондинок». Между тем для каждого второго смартфона на Android длина кода блокировки никак не влияет на безопасность; отключение Smart Lock бесполезно, если пользователь включил (или забыл выключить) отладочный режим USB debugging, а проверять обновления Android нет смысла, если производитель твоего устройства затягивает с обновлениями.
Для начала составим свой список рекомендаций, а потом пройдемся по некоторым пунктам подробно.
- Код блокировки. Он нужен, и желательно не короче шести цифр. При этом следует проверить, какой механизм шифрования используется в твоем смартфоне — FDE или FBE, и если FDE, то необходимо включить режим безопасной загрузки Secure Startup.
- Отключи отладочный режим USB debugging. Любые другие действия бессмысленны, если этот режим включен.
- Наверное, ты в курсе, что разблокированный загрузчик — дыра в безопасности? Не будем даже рассматривать такие случаи, но если в настройках для разработчика (Developer settings) твоего телефона есть пункт OEM unlock, а ты не собираешься в ближайшее время разблокировать загрузчик — отключи его.
- Если в твоем телефоне есть настройка режима, в котором устройство должно быть доступно при подключении к компьютеру, выбери «Только зарядка» (Charge only). В противном случае из твоего заблокированного телефона удастся скопировать содержимое карты памяти, включая фото и видео. Если такой настройки нет, то проверь, что происходит при подключении. Как правило, в современных устройствах режим Charge only будет выбран по умолчанию. Если это так — все в порядке; если же по умолчанию выбран File Transfer или MTP — на безопасности можно ставить крест.
- Конечно, последняя версия Android — это хорошо, а актуальные патчи безопасности и вовсе вещь обязательная. Проблема лишь в том, что подавляющее большинство производителей безобразно затягивает с обновлениями, оставляя найденные уязвимости незакрытыми на многие месяцы (а то и годы). Если твой телефон не актуальный флагман (или актуальный флагман Samsung или LG), то о быстрых обновлениях можно забыть. Но обновления все равно проверь.
- Smart Lock — абсолютное зло с точки зрения безопасности. Отключи все виды Smart Lock, в том числе разблокировку по лицу (только в Smart Lock; если твой телефон оборудован объемным сканером с инфракрасной подсветкой — совет неактуален).
- Заодно отключи задержку блокировки телефона, если она настроена (настрой Settings → Security & Location → Automatically lock → Immediately).
- Про установку из неизвестных источников не забыл? Не стоит держать этот переключатель в активном состоянии, он действительно делает твой телефон уязвимым. Кстати, в Android 8 отдельной настройки нет; разрешение выдается отдельным приложениям, управлять настройкой можно через пункт настроек Special app access.
- Буквально на днях произошел скандал: оказалось, что ряд приложений для iPhone записывает действия пользователя и передает в виде аналитики скриншоты экрана, включая персональные данные, номера паспортов и кредитных карт. В Android скандала не было: абсолютно любое приложение с разрешениями Draw over other apps или запущенное в виде сервиса Accessibility может проделать то же самое. Проверь, нет ли там чего лишнего.
- А еще есть такая вещь, как Device admin. Приложения из этой категории могут использоваться для того, чтобы дистанционно сменить код блокировки, заблокировать или разблокировать устройство, сбросить настройки к заводским. Если это Google Find My Phone или Exchange Admin, установленный твоим работодателем, то все хорошо. Проверь, чтобы в списке не оказалось лишнего.
- Про встроенные производителями бэкдоры ты, наверное, уже в курсе. Многие производители встраивают в прошивки своих телефонов средства для сбора аналитики. Время от времени оказывается, что «аналитика» — это и твои контакты с паролями. По большому счету, поделать тут особо ничего нельзя. Ты можешь попытаться ограничить доступ аналитики в интернет (например, приложением AdGuard, установленным, кстати, из сторонних источников — с сайта разработчика, а не из Play Store), но если у тебя на руках такой аппарат, то все возможные данные уже давно утекли. Просто смирись.
- Наконец, о приложениях из Play Store. Многие из них затребовали (и, скорее всего, получили) самые дикие разрешения. Например, «Птичкам» ты мог дать доступ к камере, микрофону и контактам (зачем?), продвинутому калькулятору — доступ к местоположению, а красивой фотогалерее — разрешение на чтение и отправку SMS. Не поленись и зайди в список разрешений приложений; для большинства пользователей простой анализ выданных разрешений становится большим сюрпризом.
- Не храни пароль от Google Account в браузере Chrome. Его будут искать в первую очередь.
- Включи двухфакторную аутентификацию. Без комментариев; на эту тему мы писали не раз и не два.
Отложенная блокировка
Когда-то давно ввод кода блокировки был единственным, медленным и неудобным способом разблокировать экран телефона. Многим пользователям постоянный ввод пароля представлялся неудобным; они отказывались от защиты в пользу удобства и скорости. Отложенная блокировка стала логичной реакцией на проблему со стороны как Google, так и Apple.
При активации соответствующей опции можно было отключить дисплей телефона кнопкой, включить его снова — и попасть сразу на домашний экран. Задержку можно настраивать в зависимости от собственных предпочтений. Нужно ли говорить, что задержка блокировки катастрофически снижает уровень безопасности? Представь ситуацию: ты идешь по улице, уткнувшись в телефон, и вдруг упираешься в грудь полицейского. Рефлекторно жмешь кнопку отключения дисплея, после чего тебя задерживают. Телефон у тебя конфискуют, включают экран — и сразу же попадают на домашний экран. Пароли, коды блокировки, заблокированный загрузчик, шифрование и многие другие вещи уже не будут иметь значения.
В iOS есть аналогичная настройка: Settings → Touch ID & Passcode → Require Passcode. Ее предназначение примерно такое же, как в смартфонах с Android, за одним важным отличием: если ты используешь Touch ID или Face ID, в современных версиях iOS единственным доступным вариантом выбора будет Immediately (то есть блокировать сразу после отключения экрана). А вот если ты отключишь биометрику, оставив только код блокировки, то станут доступными и другие варианты вплоть до Never (запрашивать код блокировки только после первой загрузки и время от времени согласно постоянно меняющимся политикам Apple). Обрати внимание: некоторые варианты могут быть недоступны, если на твоем устройстве установлена внешняя политика безопасности.
Smart Lock
Почему все так ополчились на функцию Smart Lock? Дело в том, что эта функция позволяет разблокировать телефон, используя методы, которые не имеют ничего общего с безопасностью. Рассмотрим на примерах.
Face Unlock. Разблокировка по лицу в разделе Smart Lock не имеет ничего общего с биометрической аутентификацией. Это — всего лишь сличение образа пользователя с фотографией, сделанной на фронтальную камеру устройства. Такой Face Unlock легко обманывается плоской фотографией. Обрати внимание: в телефонах, оборудованных биометрической функцией Face Unlock (например, Xiaomi Mi 8), этого пункта в настройках не будет; в таких устройствах Face Unlock подчиняется тем же требованиям и правилам, что и разблокировка по датчику отпечатка пальцев.
Trusted places. Автоматически разблокирует устройства в окрестностях тех мест, где ты часто бываешь. Если телефон вытащат из твоего кармана возле дома, у злоумышленника не возникнет никаких проблем с его разблокировкой.
Trusted devices. Если подключено доверенное устройство Bluetooth, телефон может быть разблокирован автоматически. Поверь, у полиции не возникнет затруднений использовать твои умные часы или трекер для такой разблокировки.
Voice Match, On-body detection. В какой-то степени экспериментальные варианты, позволяющие пользователям реже разблокировать устройство кодом блокировки.
Если Smart Lock настолько небезопасен, почему он вообще есть в Android? Smart Lock — тяжкое наследие тех времен, когда ввод кода блокировки или паттерна был единственным способом разблокировать телефон. Подавляющему большинству пользователей не нравилось, что на разблокировку устройства тратятся драгоценные секунды (а разблокировать телефон в перчатках было той еще задачей); в результате многие не устанавливали никакой защиты вообще. Для того чтобы хоть как-то приучить пользователей к установке кода блокировки, Google пришлось сильно занизить планку: так, появились опции, позволяющие отсрочить блокировку экрана на 10–15 минут с момента последней разблокировки. Smart Lock — из той же оперы. Никакой разумной нужды что в Smart Lock, что в отложенной блокировке уже не осталось: современные сканеры отпечатков пальцев срабатывают чуть быстрее, чем просто «мгновенно», а разблокировка по лицу достигла достаточно высоких уровней скорости и безопасности.
Разблокировка по лицу
Насколько безопасна разблокировка по лицу? Мы не стали писать об этом в разделе про iPhone; в них используется система с достаточным уровнем технической безопасности. В смартфонах с Android производители устанавливают модули разблокировки по лицу, безопасность которых находится в пределах от «хорошо» до «тот же Smart Lock, вид сбоку». Так, в смартфонах Samsung есть режим, комбинирующий образ лица со сканированием радужной оболочки глаза; обмануть такую систему трехмерной моделью головы не удастся. Аналогичные системы стали появляться во флагманских устройствах Huawei, Xiaomi и многих других. В то же время в ряде устройств используются гораздо более примитивные системы, основанные или на фотографии с фронтальной камеры, или на двумерном фото с инфракрасного датчика. Обмануть такие системы вполне возможно, иногда — очень просто. Как правильно заметили в статье «Разблокировка по лицу — не лучшая идея», подход «Мой телефон умеет все то же, что и твой iPhone, — и стоит в десять раз меньше!» будет встречаться все чаще.
Особняком стоит правовой аспект разблокировки по лицу. В США был создан ряд прецедентов, регулирующих возможности полиции разблокировать устройство, сканируя лицо подозреваемого. Имеются как положительные (разрешение на разблокировку по лицу было выдано), так и отрицательные (разрешение не было выдано или было выдано неправомерно) прецеденты, и благодаря им установлены достаточно четкие правовые рамки, переходить которые полицейские в большинстве случаев не станут.
В то же время в России мы неоднократно слышали об историях, когда телефон «случайно» поворачивался в сторону задержанного, после чего «сам собой» разблокировался. Доказать, что телефон был разблокирован с нарушением правовых норм, в таких случаях очень тяжело: нательными камерами, как в США, российские полицейские пока не оснащены.
Использовать или не использовать разблокировку по лицу — вопрос открытый, и ответ на него лежит не только в технической области; решать в любом случае тебе. Автор этого текста такую возможность использует.
Безопасность небезопасного
А что можно сделать, если у тебя на руках откровенно «дырявый» телефон с разблокированным загрузчиком или перепрошитый ушлыми продавцами «китаец»? В этом случае говорить о серьезной безопасности, конечно, не приходится, но кое-что ты сделать все-таки сможешь.
Первый и самый простой вариант: у тебя на руках телефон, загрузчик которого разблокирован (например, предыдущим владельцем). Часто подобные ситуации осложняются тем, что на телефоне установлена кастомная прошивка, есть root-доступ, модифицирован системный раздел или и вовсе непонятно, что там творится. В большинстве случаев такой телефон можно вернуть в «заводское» состояние, прошив его на заводскую прошивку (где скачать, посоветуют на XDA или 4PDA), после чего загрузчик можно заблокировать командой fastboot oem lock. Особенно это рекомендуем проделать с китайскими устройствами, на которые хитрые продавцы часто (чаще, чем ты можешь себе представить!) устанавливают прошивки с самыми разнообразными сюрпризами.
Обрати внимание: данная стратегия не сработает со свежими телефонами Xiaomi, перепрошитыми с китайского стока на «глобальную» версию MIUI. Если ты попробуешь заблокировать загрузчик на таком устройстве, получишь «кирпич», восстановить который может быть очень и очень трудно. Если все-таки решишь попробовать — хотя бы заведи на телефоне Xiaomi Account, чтобы впоследствии, если что-то пойдет не так, ты мог воспользоваться утилитой Mi Unlock для разблокировки загрузчика.
Но что, если загрузчик нельзя заблокировать (так часто бывает на многих китайских устройствах)? Значит, тебе не повезло. Впрочем, если ты приобрел такое устройство, то, вероятно, безопасность — последняя из проблем такого телефона. Теоретически даже на таких устройствах будет работать шифрование, которое не позволит просто так считать данные. На практике же взлом таких устройств обычно не представляет никакой проблемы. Единственное, что ты можешь попытаться сделать, — настроить Secure Startup; в этом режиме ключ шифрования данных будет генерироваться на основе кода блокировки. Достаточно длинный код блокировки увеличит время, которое потребуется на взлом.
Что делать, если ты приобрел телефон, который ведет себя странно? При малейшем подозрении на вредоносное ПО в прошивке зайди в профильную ветку на 4PDA. Вполне вероятно, что ты с такой проблемой не один и на форуме уже есть подробные инструкции по удалению или заморозке малвари.
А что делать, если производитель не выпускает обновлений, а в прошивке прочно прописались зловредные компоненты? Конечно, разумным поступком было бы избавиться от такого устройства, но в реальном мире так мало кто делает. Поэтому рекомендация: попробуй разблокировать загрузчик (хуже уже не станет) и установить на телефон официальную сборку Lineage OS. В официальных сборках Lineage (в отличие от, например, Resurrection Remix) все хорошо и с приватностью, и с шифрованием, и с обновлениями «по воздуху». В зависимости от доступной для твоего устройства версии прошивки может использоваться шифрование как FDE, так и FBE; в первом случае рекомендуем настроить Secure Startup. Если же сборок Lineage нет или разблокировать загрузчик невозможно, то даже ребенку я бы такой телефон отдавать не стал.
Если забрали компьютер
Обсудив защищенность твоих данных в мобильном устройстве, поговорим о том, как анализ компьютера может повлиять на безопасность твоих мобильных устройств. Если эксперт получил доступ к твоему компьютеру, а полнодисковое шифрование (например, посредством BitLocker) ты не используешь, то запуском простой утилиты и одним-двумя ленивыми кликами мышки будут извлечены все логины и пароли от всех твоих учетных записей. Откуда? Из базы данных твоего любимого браузера: Chrome, Mozilla, Edge… Пользуешься менеджером паролей? Если разработка тебя в качестве подозреваемого представляет хоть какой-то интерес, то к базе данных паролехранилки попытаются подобрать пароль (тут, впрочем, результат не гарантирован).
Что произойдет, когда пароли будут извлечены? В зависимости от того, каким смартфоном ты пользуешься, эксперт запустит еще одно приложение, которое извлечет всю информацию из облака Apple, Google или, к примеру, Samsung. (В скобках: если ты пользуешься смартфоном Samsung, то знаешь ли ты, что именно хранится в соответствующем облаке, даже если ты не включал его сознательно?)
Если ты пользуешься iPhone, из облака можно извлечь:
- резервные копии (кстати, не всегда; если у тебя свежая версия iOS и активирована двухфакторная аутентификация, то резервную копию скачать не удастся. Впрочем, если у тебя остались старые резервные копии, созданные устройствами с iOS 11 или старше, то их извлечь получится. Мораль: посмотри, что у тебя хранится в облаке, и удали ненужные резервные копии!);
- синхронизированные данные: контакты, заметки, календари, закладки браузера Safari и прочее;
- фотографии (если у тебя включен iCloud Photo Library), в том числе недавно удаленные;
- журнал звонков и историю браузера;
- некоторые данные карт;
- если узнают код блокировки твоего телефона или пароль от компьютера Mac, то и все облачные пароли (iCloud Keychain) и данные «Здоровья» (журнал твоей повседневной активности), а также SMS и iMessage.
- резервные копии и данные приложений (кстати, в Android именно в этой категории будут храниться журналы звонков, SMS, а также маркеры аутентификации отдельных приложений);
- синхронизированные данные: календари, контакты, заметки;
- пароли Chrome (какой-либо дополнительной защиты, как в iOS, для них не предусмотрено);
- подробнейшая история местоположения за последние много лет. Пожалуй, на этот пункт будут обращать внимание в первую очередь;
- история браузера и поисковых запросов. Исследуется в обязательном порядке;
- почта Gmail, которую можно использовать, например, для сброса пароля к другим учетным записям.
Если у тебя телефон Samsung, то можно вытащить еще кое-что из собственного облака Samsung. Мы понимаем, что для многих читателей наличие у Samsung собственного облачного сервиса станет сюрпризом, а то, что в нем, оказывается, хранятся какие-то данные (и ты с этим в какой-то момент успел согласиться), может сильно удивить. В облаке Samsung можно найти:
- резервные копии (интересно, что Samsung сохраняет в облаке не только данные приложений, но и APK);
- фотографии (если ты не приложил осознанных усилий, чтобы отключить синхронизацию фотографий в облако);
- данные Samsung Health;
- резервные копии часов и трекеров Samsung.
- резервные копии. Здесь достаточно скудно: сохраняются APK и настройки телефона, но не сохраняются данные приложений;
- контакты, SMS;
- фотографии, если ты включил синхронизацию.
Помочь может многослойная защита.
Во-первых, обеспечь физическую безопасность компьютера, включив шифрование системного диска через BitLocker. Кстати, убедись, что ключ шифрования BitLocker Recovery Key не «утек» в облако OneDrive (проверить можно тут) или не сохранился в Active Directory.
Если ты живешь в России, то просто так взять и зашифровать системный диск у тебя не получится. Для того чтобы включить шифрование, тебе нужна как минимум профессиональная редакция Windows и аппаратный модуль доверенной загрузки TPM 2.0. Именно в аппаратном модуле должен храниться сам ключ шифрования, при помощи которого будет зашифрован раздел. Модули TPM 2.0 не получили сертификации ФСБ; соответственно, все продающиеся на территории РФ компьютеры не должны включать этот модуль по умолчанию, даже если он физически распаян на материнской плате. Варианты? Если есть возможность активировать TPM 2.0 в настройках BIOS — сделай это и включи BitLocker. Если такой возможности нет, то разрешить шифрование системного раздела при помощи BitLocker получится и без аппаратного модуля. Сделать это можно вручную, отредактировав групповые политики Windows. Подробности — по ссылке.
Следующий слой защиты — пароли для облачных учетных записей. Для облачных сервисов Google, Apple, Samsung, Xiaomi используй уникальные пароли, непохожие на все те, что записаны в хранилище браузера. Запусти свой любимый, не самый любимый и совсем нелюбимый браузеры и убедись, что в их хранилище нет данных перечисленных выше учетных записей. Если используешь Chrome — выйди из учетной записи Google. Сотри кеш и куки браузера, после чего закрой все окна. Всё, на какое-то время (пока ты снова не войдешь в Google Account) ты защищен от облачного вектора атаки.
Использование такой системы незначительно повлияет на удобство повседневного использования, но существенно повысит безопасность.
Lockdown
У пользователей iPhone есть дополнительный фактор риска: файл lockdown, он же — iTunes pairing record. Эти файлы создаются при подключении iPhone или iPad к компьютеру, на котором установлено приложение iTunes; они нужны для того, чтобы при помощи iTunes можно было синхронизировать устройство с компьютером без постоянного ввода кода блокировки. С одной стороны, наличие механизма pairing record — это удобство. С другой — уязвимость. Так, инструменты «Элкомсофт» позволяют использовать файлы lockdown для создания резервной копии телефона, даже если экран заблокирован (но сам телефон был разблокирован хотя бы раз с момента загрузки). Решение GrayKey в тех же условиях и вовсе позволяет создать полный образ файловой системы (правда, пока только для iOS 11).
Как защититься? С одной стороны, можно удалить файлы lockdown с компьютера; на Windows 10 они находятся в папке C:\Users\<username>\AppData\Roaming\Apple Computer\MobileSync\Backup (если ты устанавливал iTunes с сайта Apple) или в папке C:\Users\<username>\Apple\MobileSync\Backup (если ты используешь версию iTunes из Microsoft Store).
А вот просто так удалить эти записи на iPhone нельзя; можно лишь сбросить все доверенные записи сразу через Settings → General → Reset → Reset Location & Privacy. Кстати, для сброса нужно будет ввести код блокировки. Другой способ удалить доверенные записи — сброс настроек Reset Network Settings. А вот Reset All Settings на записи доверия не влияет никак (зато удаляет пароль на резервную копию).
Насколько реальны риски, связанные с анализом компьютера? По информации от самих полицейских, исследование компьютеров проводят нечасто. Как правило, у полиции возникают следующие препятствия:
- препятствия юридического характера: имеющееся постановление разрешает досмотр и анализ улик, бывших у задержанного при себе (но не дает разрешения на обыск в квартире);
- ограничения по времени: работа эксперта поставлена на поток. В рутинных случаях у эксперта нет месяца, недели или даже нескольких дней, чтобы подробнейшим образом проанализировать все доступные улики;
- пароль к BitLocker чрезвычайно стойкий. Атаки «в лоб» обречены, если полиция не сможет извлечь готовый ключ шифрования посредством, к примеру, FireWire Attack;
- поверхностная экспертиза: в результате строгих временных рамок содержимое жесткого диска просматривается на предмет вполне конкретных файлов (фото- и видеоматериалы, переписка, базы данных мессенджеров);
- даже если предпринимается полный анализ, очень часто в кеше браузеров не оказывается нужных паролей;
- даже если нужные пароли есть, в облаке подозреваемого не оказывается резервных копий вообще или достаточно свежих резервных копий. Даже для iOS это типичная ситуация: если оставить все настройки по умолчанию, то мизерные 5 Гбайт бесплатного места в облаке в кратчайшие сроки будут забиты синхронизированными фотографиями. На резервные копии места уже не останется. А вот у пользователей Android — останется: как резервные копии, так и фотографии в «стандартном» качестве не учитываются в и без того достаточно щедрой квоте в 15 Гбайт.
Заключение
В этой статье мы подробно рассмотрели риски и настройки безопасности, выходящие далеко за рамки стандартных советов «установить код блокировки» и «включить двухфакторную аутентификацию». Надеемся, что понимание рисков, связанных с теми или иными твоими действиями и настройками, поможет тебе адекватно оценить степень безопасности твоих данных — и, возможно, укрепить слабые места без каких-либо заметных неудобств в работе устройства.
