Computerforensiker stoßen bei ihrer Arbeit immer wieder auf Fälle, in denen es notwendig ist, ein Smartphone schnell zu entsperren. Beispielsweise werden für die Ermittlungen Daten aus dem Telefon benötigt, um die Gründe für den Selbstmord eines Teenagers zu verstehen. In einem anderen Fall helfen sie dabei, einer kriminellen Gruppe auf die Spur zu kommen, die Lkw-Fahrer angreift. Es gibt natürlich nette Geschichten – Eltern haben das Passwort für das Gadget vergessen und es gab ein Video mit den ersten Schritten ihres Babys darauf, aber leider gibt es nur wenige davon. Sie erfordern aber auch eine professionelle Herangehensweise an das Thema. In diesem Artikel Igor Mikhailov, Spezialist des Group-IB Computer Forensics Laboratory, spricht über Möglichkeiten, wie Forensiker die Smartphone-Sperre umgehen können.
Wichtig: Dieser Artikel wurde geschrieben, um die Sicherheit von Passwörtern und grafischen Mustern zu bewerten, die von Besitzern mobiler Geräte verwendet werden. Wenn Sie sich entscheiden, ein Mobilgerät mit den beschriebenen Methoden zu entsperren, denken Sie daran, dass Sie alle Maßnahmen zum Entsperren von Geräten auf eigene Gefahr und Gefahr durchführen. Wenn Sie mobile Geräte manipulieren, können Sie das Gerät sperren, Benutzerdaten löschen oder eine Fehlfunktion des Geräts verursachen. Außerdem erhalten Nutzer Empfehlungen, wie sie das Schutzniveau ihrer Geräte erhöhen können.
Die gebräuchlichste Methode, den Zugriff auf im Gerät enthaltene Benutzerinformationen einzuschränken, besteht daher darin, den Bildschirm des Mobilgeräts zu sperren. Wenn ein solches Gerät in das forensische Labor gelangt, kann die Arbeit damit schwierig sein, da es für ein solches Gerät nicht möglich ist, den USB-Debugging-Modus zu aktivieren (für Android-Geräte) und es nicht möglich ist, die Erlaubnis für die Interaktion des Computers des Prüfers damit zu bestätigen Gerät (für Apple-Mobilgeräte) und es ist daher nicht möglich, auf die im Speicher des Geräts gespeicherten Daten zuzugreifen.
Die Tatsache, dass das US-amerikanische FBI eine hohe Summe gezahlt hat, um das iPhone des Terroristen Syed Farouk, einem der Teilnehmer des Terroranschlags in der kalifornischen Stadt San Bernardino, freizuschalten, zeigt, wie sehr die übliche Bildschirmsperre eines Mobilgeräts Spezialisten davon abhält Daten daraus extrahieren [1].
Methoden zum Entsperren des Bildschirms mobiler Geräte
Um den Bildschirm eines mobilen Geräts zu sperren, wird in der Regel Folgendes verwendet:
- Symbolisches Passwort
- Grafisches Passwort
Außerdem können Methoden der SmartBlock-Technologie verwendet werden, um den Bildschirm einer Reihe mobiler Geräte zu entsperren:
- Entsperren per Fingerabdruck
- Face Unlock (FaceID-Technologie)
- Entsperren Sie das Gerät durch Iriserkennung
Soziale Methoden zum Entsperren eines Mobilgeräts
Neben rein technischen gibt es noch andere Möglichkeiten, den PIN-Code oder den grafischen Code (Muster) der Bildschirmsperre herauszufinden oder zu umgehen. In manchen Fällen können soziale Methoden effektiver sein als technische Lösungen und dabei helfen, Geräte freizuschalten, die den bestehenden technischen Entwicklungen erlegen sind.
In diesem Abschnitt werden Methoden zum Entsperren des Bildschirms eines Mobilgeräts beschrieben, die keinen (oder nur begrenzten, teilweisen) Einsatz technischer Mittel erfordern.
Um soziale Angriffe durchzuführen, ist es notwendig, die Psychologie des Besitzers eines gesperrten Geräts so gründlich wie möglich zu studieren, um die Prinzipien zu verstehen, nach denen er Passwörter oder grafische Muster generiert und speichert. Außerdem braucht der Forscher einen Tropfen Glück.
Bei der Verwendung von Methoden zum Erraten von Passwörtern ist Folgendes zu beachten:
- Die Eingabe von zehn falschen Passwörtern auf Apple-Mobilgeräten kann dazu führen, dass die Daten des Benutzers gelöscht werden. Dies hängt von den Sicherheitseinstellungen ab, die der Benutzer festgelegt hat;
- Auf Mobilgeräten mit dem Betriebssystem Android kann die Root-of-Trust-Technologie zum Einsatz kommen, die dazu führt, dass nach der Eingabe von 30 falschen Passwörtern die Benutzerdaten entweder nicht mehr zugänglich sind oder gelöscht werden.
Methode 1: Nach einem Passwort fragen
Es mag seltsam erscheinen, aber Sie können das Entsperrkennwort herausfinden, indem Sie einfach den Besitzer des Geräts fragen. Statistiken zeigen, dass etwa 70 % der Besitzer mobiler Geräte bereit sind, ihr Passwort weiterzugeben. Vor allem, wenn dadurch die Recherchezeit verkürzt wird und der Besitzer sein Gerät dementsprechend schneller zurückerhält. Wenn es nicht möglich ist, den Besitzer nach dem Passwort zu fragen (z. B. weil der Besitzer des Geräts verstorben ist) oder er sich weigert, es preiszugeben, kann das Passwort von seinen nahen Verwandten eingeholt werden. In der Regel kennen die Angehörigen das Passwort oder können mögliche Optionen vorschlagen.
Schutzempfehlung: Ihr Telefonpasswort ist ein universeller Schlüssel zu allen Daten, einschließlich Zahlungsdaten. Es ist eine schlechte Idee, über Instant Messenger zu reden, zu übermitteln und zu schreiben.
Methode 2: Sehen Sie sich das Passwort an
Das Passwort kann in dem Moment eingesehen werden, in dem der Besitzer das Gerät benutzt. Selbst wenn Sie sich das Passwort (Zeichen oder Grafik) nur teilweise merken, verringert sich dadurch die Anzahl der möglichen Optionen erheblich, sodass Sie es schneller erraten können.
Eine Variante dieser Methode ist die Verwendung von CCTV-Aufnahmen, die zeigen, wie der Besitzer das Gerät mithilfe eines Musterpassworts entsperrt [2]. Der in der Arbeit „Cracking Android Pattern Lock in Five Attempts“ [2] beschriebene Algorithmus ermöglicht es Ihnen, durch die Analyse von Videoaufzeichnungen die Optionen für ein grafisches Passwort zu erraten und das Gerät in mehreren Versuchen zu entsperren (in der Regel ist dazu nichts mehr erforderlich). mehr als fünf Versuche). Den Autoren zufolge „ist es umso einfacher, es zu erlernen, je komplexer das Musterpasswort ist.“
Schutzempfehlung: Die Verwendung eines Grafikschlüssels ist nicht die beste Idee. Das alphanumerische Passwort ist sehr schwer zu erkennen.
Methode 3: Finden Sie das Passwort
Das Passwort ist in den Aufzeichnungen des Gerätebesitzers zu finden (Dateien auf dem Computer, im Tagebuch, auf in Dokumenten liegenden Papierfragmenten). Wenn eine Person mehrere verschiedene mobile Geräte nutzt und diese unterschiedliche Passwörter haben, dann finden sich manchmal im Batteriefach dieser Geräte oder im Raum zwischen Smartphone-Hülle und Hülle Zettel mit geschriebenen Passwörtern:
Schutzempfehlung: Sie müssen kein „Notizbuch“ mit Passwörtern führen. Dies ist eine schlechte Idee, es sei denn, alle diese Passwörter sind bekanntermaßen falsch, um die Anzahl der Entsperrversuche zu verringern.
Methode 4: Fingerabdrücke (Schmutzangriff)
Mit dieser Methode können Sie Schweißfettspuren von Händen auf dem Display des Geräts erkennen. Sie können sie erkennen, indem Sie den Bildschirm des Geräts mit einem leichten Fingerabdruckpulver behandeln (anstelle eines speziellen forensischen Pulvers können Sie Babypuder oder ein anderes chemisch inaktives feines Pulver von weißer oder hellgrauer Farbe verwenden) oder indem Sie auf den Bildschirm des Geräts schauen Gerät in schrägen Lichtstrahlen. Indem Sie die relativen Positionen von Handabdrücken analysieren und zusätzliche Informationen über den Besitzer des Geräts haben (z. B. sein Geburtsjahr kennen), können Sie versuchen, ein Text- oder Grafikpasswort zu erraten. So sieht die Schweißfettschichtung auf dem Smartphone-Display in Form eines stilisierten Buchstabens Z aus:
Schutzempfehlung: Wie gesagt, ein grafisches Passwort ist keine gute Idee, ebenso wie Brillen mit einer schlechten oleophoben Beschichtung.
Methode 5: künstlicher Finger
Wenn das Gerät mit einem Fingerabdruck entsperrt werden kann und der Forscher über Handabdruckproben des Besitzers des Geräts verfügt, kann eine 3D-Kopie des Fingerabdrucks des Besitzers auf einem 3D-Drucker erstellt und zum Entsperren des Geräts verwendet werden [XNUMX]:
Für eine vollständigere Nachbildung des Fingers einer lebenden Person – beispielsweise wenn der Fingerabdrucksensor des Smartphones noch Wärme erkennt – wird das 3D-Modell auf den Finger einer lebenden Person gelegt (an diesen gelehnt).
Der Besitzer des Geräts kann das Gerät mithilfe seines Fingerabdrucks selbst entsperren, auch wenn er das Passwort für die Bildschirmsperre vergessen hat. Dies kann in bestimmten Fällen verwendet werden, in denen der Besitzer das Passwort nicht angeben kann, aber dennoch bereit ist, dem Forscher beim Entsperren seines Geräts zu helfen.
Der Forscher sollte die Generationen von Sensoren berücksichtigen, die in verschiedenen Modellen mobiler Geräte verwendet werden. Ältere Sensormodelle können von fast jedem Finger ausgelöst werden, nicht unbedingt vom Besitzer des Geräts. Moderne Ultraschallsensoren hingegen scannen sehr tief und klar. Darüber hinaus handelt es sich bei einer Reihe moderner Under-Screen-Sensoren einfach um CMOS-Kameras, die die Bildtiefe nicht scannen können, wodurch sie viel leichter zu täuschen sind.
Schutzempfehlung: Wenn ein Finger, dann nur ein Ultraschallsensor. Aber vergessen Sie nicht, dass es viel einfacher ist, gegen Ihren Willen einen Finger zu zeigen als ein Gesicht.
Methode 6: „Ruck“ (Mug-Attacke)
Diese Methode wird von der britischen Polizei beschrieben [4]. Dabei handelt es sich um eine verdeckte Überwachung des Verdächtigen. In dem Moment, in dem der Verdächtige sein Telefon entsperrt, entreißt der Beamte in Zivil es dem Besitzer und verhindert, dass das Gerät wieder gesperrt wird, bis es den Experten übergeben wird.
Schutzempfehlung: Ich denke, wenn solche Maßnahmen gegen Sie eingesetzt werden, ist die Lage schlecht. Aber hier müssen Sie verstehen, dass zufälliges Blockieren diese Methode entwertet. Und zum Beispiel wird durch wiederholtes Drücken der Sperrtaste am iPhone der SOS-Modus gestartet, der zusätzlich zu allem FaceID deaktiviert und einen Passcode erfordert.
Methode 7: Fehler in den Gerätesteuerungsalgorithmen
In den Newsfeeds spezialisierter Ressourcen finden Sie häufig Meldungen, die besagen, dass bestimmte Aktionen mit dem Gerät den Bildschirm entsperren. Beispielsweise kann der Sperrbildschirm einiger Geräte durch einen eingehenden Anruf entsperrt werden. Der Nachteil dieser Methode besteht darin, dass die identifizierten Schwachstellen in der Regel von den Herstellern zeitnah behoben werden.
Ein Beispiel für einen Entsperransatz für Mobilgeräte, die vor 2016 veröffentlicht wurden, ist der Batterieverbrauch. Wenn der Akku fast leer ist, wird das Gerät entsperrt und Sie werden aufgefordert, die Energieeinstellungen zu ändern. In diesem Fall müssen Sie schnell auf die Seite mit den Sicherheitseinstellungen gehen und die Bildschirmsperre deaktivieren [5].
Schutzempfehlung: Vergessen Sie nicht, das Betriebssystem Ihres Geräts rechtzeitig zu aktualisieren. Wenn es nicht mehr unterstützt wird, wechseln Sie Ihr Smartphone.
Methode 8: Schwachstellen in Programmen von Drittanbietern
Schwachstellen in auf einem Gerät installierten Drittanbieteranwendungen können auch den vollständigen oder teilweisen Zugriff auf die Daten eines gesperrten Geräts ermöglichen.
Ein Beispiel für eine solche Schwachstelle ist der Datendiebstahl vom iPhone von Jeff Bezos, dem Haupteigentümer von Amazon. Eine Sicherheitslücke im WhatsApp-Messenger, die von Unbekannten ausgenutzt wurde, führte zum Diebstahl vertraulicher Daten, die im Speicher des Geräts gespeichert waren [6].
Solche Schwachstellen können von Forschern genutzt werden, um ihre Ziele zu erreichen – um Daten von gesperrten Geräten zu extrahieren oder sie zu entsperren.
Schutzempfehlung: Sie müssen nicht nur das Betriebssystem aktualisieren, sondern auch die von Ihnen verwendeten Anwendungen.
Methode 9: Firmentelefon
Unternehmensmobilgeräte können von Systemadministratoren des Unternehmens entsperrt werden. Beispielsweise sind Windows Phone-Geräte des Unternehmens mit dem Microsoft Exchange-Konto eines Unternehmens verknüpft und können von Unternehmensadministratoren entsperrt werden. Für Apple-Unternehmensgeräte gibt es einen Mobile Device Management-Dienst ähnlich wie Microsoft Exchange. Seine Administratoren können auch ein Firmen-iOS-Gerät entsperren. Darüber hinaus können Unternehmensmobilgeräte nur mit bestimmten Computern gekoppelt werden, die der Administrator in den Mobilgeräteeinstellungen festgelegt hat. Daher kann ein solches Gerät ohne Interaktion mit den Systemadministratoren des Unternehmens nicht mit dem Computer des Forschers (oder dem Software- und Hardwaresystem zur forensischen Datenextraktion) verbunden werden.
Schutzempfehlung: MDM ist in Bezug auf den Schutz sowohl böse als auch gut. Ein MDM-Administrator kann ein Gerät jederzeit aus der Ferne zurücksetzen. Auf keinen Fall sollten Sie sensible persönliche Daten auf einem Firmengerät speichern.
Methode 10: Informationen von Sensoren
Durch die Analyse der von den Sensoren des Geräts empfangenen Informationen können Sie mithilfe eines speziellen Algorithmus das Passwort für das Gerät erraten. Adam J. Aviv demonstrierte die Machbarkeit solcher Angriffe anhand von Daten, die er vom Beschleunigungsmesser eines Smartphones erhalten hatte. Im Laufe der Forschung gelang es dem Wissenschaftler, das symbolische Passwort in 43 % der Fälle und das grafische Passwort in 73 % der Fälle korrekt zu bestimmen [7].
Schutzempfehlung: Seien Sie vorsichtig, welchen Apps Sie die Berechtigung zum Verfolgen verschiedener Sensoren erteilen.
Methode 11: Gesichtsentsperrung
Wie beim Fingerabdruck hängt der Erfolg des Entsperrens eines Geräts mithilfe der FaceID-Technologie davon ab, welche Sensoren und welche mathematischen Vorrichtungen in einem bestimmten Mobilgerät verwendet werden. So zeigten die Forscher in der Arbeit „Gezichtsherkenning op Smartphone niet altijd veilig“ [8], dass einige der untersuchten Smartphones einfach dadurch entsperrt wurden, dass das Foto des Besitzers der Kamera des Smartphones gezeigt wurde. Dies ist möglich, wenn zum Entsperren nur eine Frontkamera verwendet wird, die nicht in der Lage ist, Bildtiefendaten zu scannen. Samsung sah sich nach einer Reihe hochkarätiger Veröffentlichungen und Videos auf YouTube gezwungen, der Firmware seiner Smartphones eine Warnung hinzuzufügen. Face Unlock Samsung:
Fortgeschrittenere Smartphone-Modelle können per Maske oder Selbstlernfunktion des Geräts entsperrt werden. Beispielsweise nutzt das iPhone Ein solches Gerät kann mithilfe einer Maske entsperrt werden, deren Konturen die Konturen des Gesichts des Trägers nachahmen. iPhone-Entsperrmaske [9]:
Da ein solches System sehr komplex ist und unter idealen Bedingungen nicht funktioniert (natürliche Alterung des Besitzers, Veränderungen der Gesichtskonfiguration aufgrund von Gefühlsausdruck, Müdigkeit, Gesundheitszustand usw.), ist es gezwungen, sich ständig selbst zu lernen. Wenn also eine andere Person das entsperrte Gerät vor sich hält, wird ihr Gesicht als das Gesicht des Besitzers des Geräts gespeichert und er kann künftig das Smartphone mithilfe der FaceID-Technologie entsperren.
Schutzempfehlung: Verwenden Sie keine Entsperrung per „Foto“ – nur Systeme mit vollwertigen Gesichtsscannern (FaceID von Apple und Analoga auf Android-Geräten).
Die wichtigste Empfehlung ist, nicht in die Kamera zu schauen, sondern einfach wegzuschauen. Selbst wenn Sie ein Auge schließen, sinkt die Chance, es zu entsperren, erheblich, beispielsweise wenn Hände im Gesicht vorhanden sind. Darüber hinaus gibt es nur 5 Versuche zum Entsperren per Gesicht (FaceID), danach müssen Sie einen Passcode eingeben.
Methode 12: Leaks nutzen
Durchgesickerte Passwortdatenbanken sind eine gute Möglichkeit, die Psychologie des Gerätebesitzers zu verstehen (vorausgesetzt, der Forscher verfügt über Informationen über die E-Mail-Adressen des Gerätebesitzers). Im obigen Beispiel wurden bei der Suche nach einer E-Mail-Adresse zwei ähnliche Passwörter zurückgegeben, die vom Eigentümer verwendet wurden. Es ist davon auszugehen, dass das Passwort 21454162 oder seine Ableitungen (z. B. 2145 oder 4162) als Sperrcode für Mobilgeräte verwendet werden könnten. (Die Suche nach der E-Mail-Adresse des Besitzers in Leak-Datenbanken zeigt, welche Passwörter der Besitzer möglicherweise verwendet hat, unter anderem zum Sperren seines Mobilgeräts.)
Schutzempfehlung: Handeln Sie proaktiv, verfolgen Sie Daten zu Leaks und ändern Sie bei Leaks festgestellte Passwörter zeitnah!
Methode 13: Generische Passwörter für die Gerätesperre
In der Regel wird nicht ein Mobilgerät vom Besitzer beschlagnahmt, sondern mehrere. Oft gibt es Dutzende solcher Geräte. In diesem Fall können Sie das Passwort für ein anfälliges Gerät erraten und versuchen, es auf andere beschlagnahmte Smartphones und Tablets desselben Besitzers anzuwenden.
Bei der Analyse von Daten, die von mobilen Geräten extrahiert wurden, werden diese Daten in forensischen Programmen angezeigt (häufig sogar beim Extrahieren von Daten von gesperrten Geräten, die verschiedene Arten von Schwachstellen nutzen).
Wie Sie im Screenshot eines Teils des Arbeitsfensters des Programms UFED Physical Analyzer sehen können, ist das Gerät mit einem eher ungewöhnlichen fgkl-PIN-Code gesperrt.
Vernachlässigen Sie andere Benutzergeräte nicht. Durch die Analyse der im Webbrowser-Cache des Computers des Besitzers des Mobilgeräts gespeicherten Passwörter kann man beispielsweise die vom Besitzer befolgten Passwortgenerierungsprinzipien nachvollziehen. Sie können gespeicherte Passwörter auf Ihrem Computer mit dem Dienstprogramm NirSoft [11] anzeigen.
Außerdem befinden sich möglicherweise Lockdown-Dateien auf dem Computer (Laptop) des Besitzers des Mobilgeräts, die dabei helfen können, Zugriff auf ein gesperrtes Apple-Mobilgerät zu erhalten. Diese Methode wird als nächstes besprochen.
Schutzempfehlung: Verwenden Sie überall unterschiedliche, eindeutige Passwörter.
Methode 14: Generische PINs
Wie bereits erwähnt, verwenden Benutzer häufig typische Passwörter: Telefonnummern, Bankkarten, PIN-Codes. Diese Informationen können zum Entsperren des bereitgestellten Geräts verwendet werden.
Wenn alles andere fehlschlägt, können Sie die folgenden Informationen verwenden: Die Forscher führten eine Analyse durch und fanden die beliebtesten PIN-Codes (die angegebenen PIN-Codes decken 26,83 % aller Passwörter ab) [12]:
PIN
Häufigkeit, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Wenn Sie diese Liste von PIN-Codes auf ein gesperrtes Gerät anwenden, wird es mit einer Wahrscheinlichkeit von ca. 26 % entsperrt.
Schutzempfehlung: Überprüfen Sie Ihre PIN anhand der obigen Tabelle und ändern Sie sie trotzdem, auch wenn sie nicht übereinstimmt, da 4 Ziffern nach den Maßstäben von 2020 zu klein sind.
Methode 15: Typische Bildpasswörter
Wie oben beschrieben, können Sie anhand der Daten von Überwachungskameras, mit denen der Besitzer des Geräts versucht, es zu entsperren, in fünf Versuchen ein Entsperrmuster ermitteln. Darüber hinaus gibt es ebenso wie generische PIN-Codes generische Muster, mit denen gesperrte mobile Geräte entsperrt werden können [13, 14].
Einfache Muster [14]:
Muster mittlerer Komplexität [14]:
Komplexe Muster [14]:
Liste der beliebtesten Diagrammmuster nach dem Forscher Jeremy Kirby [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Bei einigen Mobilgeräten kann zusätzlich zum Grafikcode ein zusätzlicher PIN-Code eingestellt werden. Wenn in diesem Fall kein grafischer Code gefunden werden kann, kann der Forscher auf die Schaltfläche klicken Zusätzlicher PIN-Code (Sekundär-PIN) nach Eingabe eines falschen Bildcodes und versuchen Sie, eine zusätzliche PIN zu finden.
Schutzempfehlung: Es ist besser, überhaupt keine grafischen Tasten zu verwenden.
Methode 16: Alphanumerische Passwörter
Wenn auf dem Gerät ein alphanumerisches Passwort verwendet werden kann, könnte der Besitzer die folgenden gängigen Passwörter als Sperrcode verwenden [16]:
- 123456
- Passwort
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- Sonnenschein
- QWERTY
- iloveyou
- Prinzessin
- Administrator
- willkommen
- 666666
- abc123
- Fußball
- 123123
- Affe
- 654321
- ! @ # $% ^ & *
- Charlie
- aa123456
- Donald
- password1
- qwerty123
Schutzempfehlung: Verwenden Sie nur komplexe, einzigartige Passwörter mit Sonderzeichen und unterschiedlicher Groß-/Kleinschreibung. Überprüfen Sie, ob Sie eines der oben genannten Passwörter verwenden. Wenn Sie es verwenden, ändern Sie es in ein zuverlässigeres.
Methode 17: Cloud- oder lokaler Speicher
Wenn es technisch nicht möglich ist, Daten von einem gesperrten Gerät zu entfernen, können Kriminalisten auf den Computern des Besitzers des Geräts oder in den entsprechenden Cloud-Speichern nach dessen Sicherungskopien suchen.
Besitzer von Apple-Smartphones sind sich beim Anschließen an ihren Computer oft nicht darüber im Klaren, dass zu diesem Zeitpunkt eine lokale oder Cloud-Sicherungskopie des Geräts erstellt werden kann.
Der Cloud-Speicher von Google und Apple kann nicht nur Daten von Geräten, sondern auch vom Gerät gespeicherte Passwörter speichern. Das Extrahieren dieser Passwörter kann dabei helfen, den Sperrcode des Mobilgeräts zu erraten.
Aus dem in iCloud gespeicherten Schlüsselbund können Sie das vom Eigentümer festgelegte Gerätesicherungskennwort extrahieren, das höchstwahrscheinlich mit der PIN für die Bildschirmsperre übereinstimmt.
Wenn sich die Strafverfolgungsbehörden an Google und Apple wenden, können die Unternehmen vorhandene Daten übertragen, was die Notwendigkeit, das Gerät zu entsperren, wahrscheinlich erheblich reduzieren wird, da die Strafverfolgungsbehörden bereits über die Daten verfügen.
Beispielsweise wurden nach dem Terroranschlag in Pensocon Kopien der in iCloud gespeicherten Daten an das FBI übergeben. Aus Apples Aussage:
„Innerhalb weniger Stunden nach der ersten Anfrage des FBI am 6. Dezember 2019 stellten wir zahlreiche Informationen im Zusammenhang mit den Ermittlungen zur Verfügung. Vom 7. bis 14. Dezember erhielten wir sechs weitere rechtliche Anfragen und stellten als Antwort Informationen zur Verfügung, darunter iCloud-Backups, Kontoinformationen und Transaktionen für mehrere Konten.
Wir reagierten umgehend auf jede Anfrage, oft innerhalb weniger Stunden, und tauschten Informationen mit den FBI-Büros in Jacksonville, Pensacola und New York aus. Auf Ersuchen der Ermittlungen wurden viele Gigabyte an Informationen beschafft, die wir den Ermittlern übergeben haben.“ [17, 18, 19]
Schutzempfehlung: Alles, was Sie unverschlüsselt in die Cloud senden, kann und wird gegen Sie verwendet werden.
Methode 18: Google-Konto
Diese Methode eignet sich zum Entfernen eines grafischen Passworts, das den Bildschirm eines Mobilgeräts mit dem Betriebssystem Android sperrt. Um diese Methode nutzen zu können, müssen Sie den Benutzernamen und das Passwort des Google-Kontos des Gerätebesitzers kennen. Zweite Bedingung: Das Gerät muss mit dem Internet verbunden sein.
Wenn Sie mehrmals hintereinander das falsche Bildpasswort eingeben, bietet das Gerät an, das Passwort zurückzusetzen. Danach müssen Sie sich beim Benutzerkonto anmelden, wodurch der Gerätebildschirm entsperrt wird [5].
Aufgrund der Vielfalt an Hardwarelösungen, Android-Betriebssystemen und zusätzlichen Sicherheitseinstellungen ist diese Methode nur für eine Reihe von Geräten anwendbar.
Wenn der Forscher kein Passwort für das Google-Konto des Gerätebesitzers hat, kann er versuchen, es mit Standardmethoden zur Passwortwiederherstellung für solche Konten wiederherzustellen.
Wenn das Gerät zum Zeitpunkt der Studie nicht mit dem Internet verbunden ist (z. B. weil die SIM-Karte gesperrt ist oder nicht genügend Geld vorhanden ist), kann ein solches Gerät mithilfe der folgenden Anleitung mit dem WLAN verbunden werden:
- Drücken Sie das Symbol „Notruf“
- Wählen Sie *#*#7378423#*#*
- Wählen Sie Servicetest – WLAN
- Stellen Sie eine Verbindung zu einem verfügbaren Wi-Fi-Netzwerk her [5]
Schutzempfehlung: Vergessen Sie nicht, nach Möglichkeit die Zwei-Faktor-Authentifizierung zu verwenden. In diesem Fall ist es besser, eine Verknüpfung zur Anwendung und nicht zum Code per SMS herzustellen.
Methode 19: Gastkonto
Mobilgeräte mit Android 5 und höher können mehrere Konten haben. Zusätzliche Kontoinformationen dürfen nicht mit einer PIN oder einem Muster gesperrt werden. Um zu wechseln, müssen Sie auf das Kontosymbol in der oberen rechten Ecke klicken und ein anderes Konto auswählen:
Für ein zusätzliches Konto kann der Zugriff auf einige Daten oder Anwendungen eingeschränkt sein.
Schutzempfehlung: Es ist wichtig, das Betriebssystem zu aktualisieren. In modernen Android-Versionen (9 und höher mit Sicherheitspatches vom Juli 2020) bietet das Gastkonto normalerweise keine Optionen.
Methode 20: Spezialdienste
Unternehmen, die spezielle forensische Programme entwickeln, bieten unter anderem Dienste zum Entsperren mobiler Geräte und zum Extrahieren von Daten aus ihnen an [20, 21]. Die Möglichkeiten solcher Dienste sind einfach fantastisch. Sie können zum Entsperren von Topmodellen von Android- und iOS-Geräten sowie von Geräten verwendet werden, die sich im Wiederherstellungsmodus befinden (in den das Gerät wechselt, nachdem die Anzahl der falschen Passworteingabeversuche überschritten wurde). Der Nachteil dieser Methode sind die hohen Kosten.
Ein Auszug aus einer Webseite auf der Website von Cellebrite, die beschreibt, von welchen Geräten sie Daten abrufen können. Das Gerät kann im Entwicklerlabor (Cellebrite Advanced Service (CAS)) freigeschaltet werden [20]:
Für einen solchen Service muss das Gerät der Regional- (oder Zentrale) Niederlassung des Unternehmens zur Verfügung gestellt werden. Eine Abreise des Sachverständigen zum Kunden ist möglich. Das Knacken des Bildschirmsperrcodes dauert in der Regel einen Tag.
Schutzempfehlung: Es ist fast unmöglich, sich zu schützen, außer durch die Verwendung eines sicheren alphanumerischen Passworts und den jährlichen Gerätewechsel.
Über diese Fälle, Tools und viele andere nützliche Funktionen bei der Arbeit eines Computerforensikers sprechen Experten des PS Group-IB Laboratory im Rahmen einer Schulung . Nach Abschluss eines 5-tägigen oder erweiterten 7-tägigen Kurses sind Absolventen in der Lage, forensische Forschung effektiver durchzuführen und Cybervorfälle in ihren Organisationen zu verhindern.
PPS-Aktion über Informationssicherheit, Hacker, APT, Cyberangriffe, Betrüger und Piraten. Schrittweise Untersuchungen, praktische Fälle mit Group-IB-Technologien und Empfehlungen, wie man nicht zum Opfer wird. Verbinden!
Quellen
- Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang.
- Dominic Casciani, Gaetan Portal.
- Anatoly Alizar.
- Maria Nefedova.
- Anton Makarow. Musterkennwort auf Android-Geräten umgehen
- Jeremy Kirby.
- Andrej Smirnow.
- Maria Nefedova.
Source: habr.com