ProHoster > Blogi > antaminen > Pääsyalue: 30 tapaa avata minkä tahansa älypuhelimen lukitus. Osa 1
Pääsyalue: 30 tapaa avata minkä tahansa älypuhelimen lukitus. Osa 1
Tietokoneen oikeuslääketieteen asiantuntijat kohtaavat työssään säännöllisesti tapauksia, joissa älypuhelimen lukitus on avattava nopeasti. Esimerkiksi puhelimesta saatuja tietoja tarvitaan tutkinnassa ymmärtääkseen teini-ikäisen itsemurhan syitä. Toisessa tapauksessa he auttavat pääsemään kuorma-autonkuljettajia vastaan hyökkäävän rikollisryhmän jäljille. On tietysti söpöjä tarinoita - vanhemmat unohtivat gadgetin salasanan, ja siellä oli video vauvan ensimmäisistä askelista, mutta valitettavasti niitä on vain muutama. Mutta he vaativat myös ammattimaista lähestymistapaa asiaan. Tässä artikkelissa Igor Mikhailov, Group-IB Computer Forensics Laboratoryn asiantuntija, puhuu tavoista, joilla oikeuslääketieteen asiantuntijat voivat ohittaa älypuhelimen lukituksen.
Tärkeää: Tämä artikkeli on kirjoitettu arvioimaan mobiililaitteiden omistajien käyttämien salasanojen ja graafisten kuvioiden turvallisuutta. Jos päätät avata mobiililaitteen lukituksen kuvatulla tavalla, muista, että teet kaikki toimenpiteet laitteiden lukituksen avaamiseksi omalla vaarallasi ja riskilläsi. Kun käsittelet mobiililaitteita, voit lukita laitteen, poistaa käyttäjätiedot tai aiheuttaa laitteen toimintahäiriön. Käyttäjille annetaan myös suosituksia laitteidensa suojaustason nostamiseksi.
Joten yleisin tapa rajoittaa pääsyä laitteen sisältämiin käyttäjätietoihin on lukita mobiililaitteen näyttö. Kun tällainen laite saapuu oikeuslääketieteelliseen laboratorioon, sen kanssa työskentely voi olla vaikeaa, koska sellaiselle laitteelle on mahdotonta aktivoida USB-virheenkorjaustilaa (Android-laitteille), on mahdotonta vahvistaa lupaa tutkijan tietokoneelle olla vuorovaikutuksessa tämän kanssa. laitteen (Applen mobiililaitteille), ja tämän seurauksena on mahdotonta käyttää laitteen muistiin tallennettuja tietoja.
Se, että Yhdysvaltain FBI maksoi suuren summan kalifornialaisen San Bernardinon kaupungin terrori-iskun osanottajan, terroristi Syed Faroukin iPhonen avaamiseksi, osoittaa, kuinka paljon tavallinen mobiililaitteen näytön lukitus estää asiantuntijoita tietojen poimiminen siitä [1].
Mobiililaitteen näytön lukituksen avausmenetelmät
Pääsääntöisesti mobiililaitteen näytön lukitsemiseen käytetään:
Symbolinen salasana
Graafinen salasana
SmartBlock-tekniikan menetelmiä voidaan käyttää myös useiden mobiililaitteiden näytön lukituksen avaamiseen:
Sormenjälkilukitus
Face Unlock (FaceID-tekniikka)
Avaa laitteen lukitus iiriksen tunnistuksen avulla
Puhtaasti teknisten lisäksi on olemassa muita tapoja selvittää tai voittaa näytön lukituksen PIN-koodi tai graafinen koodi (kuvio). Joissakin tapauksissa sosiaaliset menetelmät voivat olla tehokkaampia kuin tekniset ratkaisut ja auttavat avaamaan laitteita, jotka ovat joutuneet olemassa olevaan tekniseen kehitykseen.
Tässä osiossa kuvataan menetelmiä mobiililaitteen näytön lukituksen avaamiseksi, jotka eivät vaadi (tai edellyttävät vain rajoitettua, osittaista) teknisten keinojen käyttöä.
Sosiaalisten hyökkäysten toteuttamiseksi on tarpeen tutkia lukitun laitteen omistajan psykologiaa mahdollisimman syvällisesti, ymmärtää periaatteet, joilla hän luo ja tallentaa salasanoja tai graafisia kuvioita. Lisäksi tutkija tarvitsee pisaran onnea.
Salasanan arvaamiseen liittyviä menetelmiä käytettäessä on pidettävä mielessä, että:
Kymmenen väärän salasanan syöttäminen Applen mobiililaitteisiin voi johtaa käyttäjän tietojen pyyhkimiseen. Tämä riippuu käyttäjän asettamista suojausasetuksista.
Android-käyttöjärjestelmää käyttävillä mobiililaitteilla voidaan käyttää Root of Trust -tekniikkaa, mikä johtaa siihen, että 30 väärän salasanan syöttämisen jälkeen käyttäjätiedot joko eivät pääse käsiksi tai ne poistetaan.
Tapa 1: Pyydä salasana
Se voi tuntua oudolta, mutta voit selvittää lukituksen avaussalasanan yksinkertaisesti kysymällä laitteen omistajalta. Tilastot osoittavat, että noin 70 % mobiililaitteiden omistajista on halukkaita jakamaan salasanansa. Varsinkin jos se lyhentää tutkimusaikaa ja vastaavasti omistaja saa laitteensa takaisin nopeammin. Jos salasanaa ei ole mahdollista kysyä omistajalta (esimerkiksi laitteen omistaja on kuollut) tai hän kieltäytyy paljastamasta sitä, salasanan voi hankkia hänen lähisukulaisistaan. Pääsääntöisesti sukulaiset tietävät salasanan tai voivat ehdottaa mahdollisia vaihtoehtoja.
Suojaussuositus: Puhelimesi salasana on yleisavain kaikille tiedoille, mukaan lukien maksutiedot. Sen puhuminen, lähettäminen ja kirjoittaminen pikaviestintäjärjestelmiin on huono idea.
Tapa 2: katso salasana
Salasana on luettavissa sillä hetkellä, kun omistaja käyttää laitetta. Vaikka muistaisit salasanan (merkin tai grafiikan) vain osittain, tämä vähentää merkittävästi mahdollisten vaihtoehtojen määrää, mikä antaa sinun arvata sen nopeammin.
Tämän menetelmän muunnelma on CCTV-materiaalin käyttö, jossa omistaja avaa laitteen lukituksen kuviosalasanalla [2]. Teoksessa "Android Pattern Lockin murtaminen viidellä yrityksellä" [2] kuvattu algoritmi videotallenteita analysoimalla antaa sinun arvata graafisen salasanan vaihtoehdot ja avata laitteen useilla yrityksillä (yleensä tämä ei vaadi enempää kuin viisi yritystä). Kirjoittajien mukaan "mitä monimutkaisempi salasanamalli on, sitä helpompi se on poimia."
Suojaussuositus: Graafisen avaimen käyttö ei ole paras idea. Aakkosnumeerista salasanaa on erittäin vaikea nähdä.
Tapa 3: etsi salasana
Salasana löytyy laitteen omistajan asiakirjoista (tiedostot tietokoneella, päiväkirja, asiakirjoissa makaavan paperinpalaset). Jos henkilö käyttää useita eri mobiililaitteita ja heillä on erilaiset salasanat, niin joskus näiden laitteiden akkukotelosta tai älypuhelimen kotelon ja kotelon välisestä tilasta löytyy paperilappuja, joissa on kirjoitetut salasanat:
Suojaussuositus: ei tarvitse pitää "muistikirjaa" salasanoilla. Tämä on huono idea, ellei kaikkien näiden salasanojen tiedetä olevan vääriä lukituksen avausyritysten määrän vähentämiseksi.
Tapa 4: sormenjäljet (Smudge-hyökkäys)
Tämän menetelmän avulla voit tunnistaa käsien hiki-rasvajäljet laitteen näytöstä. Näet ne käsittelemällä laitteen näyttöä kevyellä sormenjälkijauheella (erityisen oikeuslääkejauheen sijaan voit käyttää vauvanjauhetta tai muuta kemiallisesti inaktiivista hienojakoista valkoista tai vaaleanharmaata jauhetta) tai katsomalla laitteen näyttöä. laite vinoissa valonsäteissä. Analysoimalla kädenjälkien suhteellisia asentoja ja saamalla lisätietoja laitteen omistajasta (esimerkiksi hänen syntymävuotensa tiedossa) voit yrittää arvata tekstin tai graafisen salasanan. Tältä hiki-rasvakerrostus näyttää tyylitellyn Z-kirjaimen muodossa älypuhelimen näytöllä:
Suojaussuositus: Kuten sanoimme, graafinen salasana ei ole hyvä idea, kuten lasit, joissa on huono oleofobinen pinnoite.
Menetelmä 5: tekosormi
Jos laitteen lukitus voidaan avata sormenjäljellä ja tutkijalla on kädenjälkinäytteet laitteen omistajasta, niin omistajan sormenjäljestä voidaan tehdä 3D-kopio 3D-tulostimella ja käyttää laitteen lukituksen avaamiseen [XNUMX]:
Täydellisen elävän ihmisen sormen jäljittelemiseksi - esimerkiksi kun älypuhelimen sormenjälkitunnistin vielä havaitsee lämpöä - 3D-malli asetetaan elävän ihmisen sormeen (nojaa sitä vasten).
Laitteen omistaja, vaikka hän unohtaisi näytön lukituksen salasanan, voi avata laitteen lukituksen itse sormenjäljellään. Tätä voidaan käyttää tietyissä tapauksissa, joissa omistaja ei pysty antamaan salasanaa, mutta on halukas auttamaan tutkijaa laitteensa lukituksen avaamisessa.
Tutkijan tulee pitää mielessä erilaisten mobiililaitteiden malleissa käytettyjen sensorien sukupolvet. Vanhemmat anturimallit voidaan laukaista melkein millä tahansa sormella, ei välttämättä laitteen omistajalla. Nykyaikaiset ultraäänianturit päinvastoin skannaavat erittäin syvästi ja selkeästi. Lisäksi monet nykyaikaiset näytön alla olevat anturit ovat yksinkertaisesti CMOS-kameroita, jotka eivät pysty skannaamaan kuvan syvyyttä, mikä tekee niistä paljon helpompi huijata.
Suojaussuositus: Jos sormi, niin vain ultraäänianturi. Mutta älä unohda, että sormen laittaminen vastoin tahtoa on paljon helpompaa kuin kasvot.
Tapa 6: "nykiminen" (mukihyökkäys)
Tämä menetelmä on kuvattu Britannian poliisin toimesta [4]. Se koostuu epäillyn salavalvonnasta. Sillä hetkellä, kun epäilty avaa puhelimensa lukituksen, siviilipukuinen agentti nappaa sen omistajan käsistä ja estää laitetta lukkiutumasta uudelleen ennen kuin se luovutetaan asiantuntijoille.
Suojaussuositus: Uskon, että jos tällaisia toimenpiteitä aiotaan käyttää sinua vastaan, asiat ovat huonosti. Mutta tässä sinun on ymmärrettävä, että satunnainen esto devalvoi tämän menetelmän. Ja esimerkiksi iPhonen lukituspainikkeen toistuva painaminen käynnistää SOS-tilan, joka kaiken lisäksi sammuttaa FaceID:n ja vaatii pääsykoodin.
Menetelmä 7: virheet laitteen ohjausalgoritmeissa
Erikoistuneiden resurssien uutissyötteistä löydät usein viestejä, joissa kerrotaan, että tietyt toiminnot laitteen kanssa avaavat sen näytön. Esimerkiksi joidenkin laitteiden lukitusnäytön lukitus voidaan avata saapuvalla puhelulla. Tämän menetelmän haittana on, että valmistajat yleensä poistavat tunnistetut haavoittuvuudet nopeasti.
Esimerkki ennen vuotta 2016 julkaistusta mobiililaitteiden lukituksen avaamisesta on akun tyhjennys. Kun akun varaus on vähissä, laite avautuu ja kehottaa muuttamaan virtaasetuksia. Tässä tapauksessa sinun on siirryttävä nopeasti suojausasetusten sivulle ja poistettava näytön lukitus [5].
Suojaussuositus: älä unohda päivittää laitteesi käyttöjärjestelmää ajoissa, ja jos sitä ei enää tueta, vaihda älypuhelin.
Tapa 8: Kolmannen osapuolen ohjelmien haavoittuvuudet
Laitteelle asennetuissa kolmannen osapuolen sovelluksissa löydetyt haavoittuvuudet voivat myös tarjota kokonaan tai osittain pääsyn lukitun laitteen tietoihin.
Esimerkki tällaisesta haavoittuvuudesta on tietojen varastaminen Amazonin pääomistajan Jeff Bezosin iPhonesta. Tuntemattomien ihmisten käyttämä WhatsApp Messengerin haavoittuvuus johti laitteen muistiin tallennettujen luottamuksellisten tietojen varastamiseen [6].
Tutkijat voivat käyttää tällaisia haavoittuvuuksia saavuttaakseen tavoitteensa - poimiakseen tietoja lukituista laitteista tai avatakseen niiden lukituksen.
Suojaussuositus: Sinun ei tarvitse päivittää vain käyttöjärjestelmää, vaan myös käyttämiäsi sovelluksia.
Tapa 9: yrityksen puhelin
Yrityksen järjestelmänvalvojat voivat avata yritysten mobiililaitteiden lukituksen. Esimerkiksi yritysten Windows Phone -laitteet on linkitetty yrityksen Microsoft Exchange -tiliin, ja yrityksen järjestelmänvalvojat voivat avata niiden lukituksen. Yritysten Apple-laitteille on Microsoft Exchangen kaltainen Mobile Device Management -palvelu. Sen järjestelmänvalvojat voivat myös avata yrityksen iOS-laitteen lukituksen. Lisäksi yritysten mobiililaitteet voidaan yhdistää vain tiettyihin tietokoneisiin, jotka järjestelmänvalvoja on määrittänyt mobiililaitteen asetuksissa. Näin ollen ilman vuorovaikutusta yrityksen järjestelmänvalvojien kanssa tällaista laitetta ei voida yhdistää tutkijan tietokoneeseen (tai ohjelmisto- ja laitteistojärjestelmään rikosteknisen tiedon poiminnassa).
Suojaussuositus: MDM on sekä paha että hyvä suojan kannalta. MDM-järjestelmänvalvoja voi aina nollata laitteen etänä. Joka tapauksessa sinun ei pidä tallentaa arkaluontoisia henkilötietoja yrityksen laitteelle.
Menetelmä 10: tiedot antureista
Analysoimalla laitteen antureilta saatuja tietoja, voit arvata laitteen salasanan erityisellä algoritmilla. Adam J. Aviv osoitti tällaisten hyökkäysten toteutettavuuden käyttämällä älypuhelimen kiihtyvyysmittarista saatuja tietoja. Tutkimuksen aikana tiedemies onnistui määrittämään oikein symbolisen salasanan 43 prosentissa tapauksista ja graafisen salasanan - 73 prosentissa [7].
Suojaussuositus: Ole varovainen, mille sovelluksille annat luvan seurata eri antureita.
Tapa 11: Avaa kasvojen lukitus
Kuten sormenjäljenkin tapauksessa, FaceID-tekniikan avulla tapahtuvan laitteen lukituksen avaamisen onnistuminen riippuu siitä, mitä antureita ja mitä matemaattisia laitteita tietyssä mobiililaitteessa käytetään. Niinpä tutkijat osoittivat työssä "Gezichtsherkenning op smartphone niet altijd veilig" [8], että joidenkin tutkittujen älypuhelimien lukitus avattiin yksinkertaisesti näyttämällä omistajan valokuva älypuhelimen kameralle. Tämä on mahdollista, kun lukituksen avaamiseen käytetään vain yhtä etukameraa, joka ei pysty skannaamaan kuvan syvyystietoja. Samsung joutui useiden korkean profiilin julkaisujen ja videoiden jälkeen YouTubessa lisäämään varoituksen älypuhelimiensa laiteohjelmistoon. Samsung Face Unlock:
Edistyneemmät älypuhelimet voidaan avata maskin tai laitteen itseoppimisen avulla. Esimerkiksi iPhone X käyttää erityistä TrueDepth-tekniikkaa [9]: laitteen projektori kahden kameran ja infrapunalähettimen avulla heijastaa yli 30 000 pisteestä koostuvan ruudukon omistajan kasvoille. Tällainen laite voidaan avata käyttämällä maskia, jonka ääriviivat jäljittelevät käyttäjän kasvojen ääriviivoja. iPhonen lukituksen avausmaski [10]:
Koska tällainen järjestelmä on erittäin monimutkainen eikä toimi ihanteellisissa olosuhteissa (omistajan luonnollista ikääntymistä tapahtuu, tunteiden ilmentymisen, väsymyksen, terveydentilan jne. aiheuttamia muutoksia kasvojen rakenteessa), sen on pakko jatkuvasti oppia itse. Siksi, jos toinen henkilö pitää lukitsematonta laitetta edessään, hänen kasvonsa muistetaan laitteen omistajan kasvoina ja hän voi jatkossa avata älypuhelimen lukituksen FaceID-tekniikalla.
Suojaussuositus: älä käytä "valokuvan" avaamista - vain järjestelmiä, joissa on täysimittaiset kasvoskannerit (Applen FaceID ja analogit Android-laitteissa).
Pääsuositus on, että älä katso kameraan, katso vain pois. Vaikka suljet yhden silmän, avautumismahdollisuus heikkenee huomattavasti, kuten käsien ollessa kasvoilla. Lisäksi vain 5 yritystä avata lukitus kasvoilla (FaceID), jonka jälkeen sinun on syötettävä pääsykoodi.
Tapa 12: Vuotojen käyttö
Vuotaneet salasanatietokannat ovat loistava tapa ymmärtää laitteen omistajan psykologiaa (olettaen, että tutkijalla on tietoa laitteen omistajan sähköpostiosoitteista). Yllä olevassa esimerkissä sähköpostiosoitteen haku palautti kaksi samanlaista salasanaa, joita omistaja käytti. Voidaan olettaa, että salasanaa 21454162 tai sen johdannaisia (esim. 2145 tai 4162) voitaisiin käyttää mobiililaitteen suojakoodina. (Omistajan sähköpostiosoitteen etsiminen vuototietokannoista paljastaa, mitä salasanoja omistaja on saattanut käyttää, mukaan lukien mobiililaitteensa lukitsemiseen.)
Suojaussuositus: toimi ennakoivasti, seuraa tietoja vuodoista ja vaihda vuodoissa havaitut salasanat ajoissa!
Tapa 13: Yleiset laitelukon salasanat
Omistajalta ei pääsääntöisesti takavarikoida yhtä mobiililaitetta, vaan useita. Tällaisia laitteita on usein kymmeniä. Tässä tapauksessa voit arvata haavoittuvan laitteen salasanan ja yrittää käyttää sitä muissa samalta omistajalta takavarikoiduissa älypuhelimissa ja tableteissa.
Mobiililaitteista poimittuja tietoja analysoitaessa tällaiset tiedot näkyvät rikoslääketieteellisissä ohjelmissa (usein jopa silloin, kun tietoja poimitaan lukituista laitteista erityyppisten haavoittuvuuksien avulla).
Kuten näet UFED Physical Analyzer -ohjelman työikkunan osan kuvakaappauksesta, laite on lukittu melko epätavallisella fgkl PIN-koodilla.
Älä unohda muita käyttäjän laitteita. Esimerkiksi mobiililaitteen omistajan tietokoneen verkkoselaimen välimuistiin tallennettuja salasanoja analysoimalla voidaan ymmärtää salasanan luontiperiaatteet, joita omistaja on noudattanut. Voit tarkastella tallennettuja salasanoja tietokoneellesi NirSoft-apuohjelman [11] avulla.
Lisäksi mobiililaitteen omistajan tietokoneessa (kannettavassa) voi olla lukitustiedostoja, jotka voivat auttaa pääsemään lukittuun Apple-mobiililaitteeseen. Tätä menetelmää käsitellään seuraavaksi.
Suojaussuositus: Käytä kaikkialla erilaisia, ainutlaatuisia salasanoja.
Tapa 14: Yleiset PIN-koodit
Kuten aiemmin todettiin, käyttäjät käyttävät usein tyypillisiä salasanoja: puhelinnumeroita, pankkikortteja, PIN-koodeja. Näitä tietoja voidaan käyttää toimitetun laitteen lukituksen avaamiseen.
Jos mikään muu ei auta, voit käyttää seuraavia tietoja: tutkijat tekivät analyysin ja löysivät suosituimmat PIN-koodit (annetut PIN-koodit kattavat 26,83 % kaikista salasanoista) [12]:
PIN
Taajuus, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Tämän PIN-koodiluettelon käyttäminen lukittuun laitteeseen avaa sen lukituksen ~26 % todennäköisyydellä.
Suojaussuositus: tarkista PIN-koodisi yllä olevan taulukon mukaan ja vaihda se, vaikka se ei täsmääkään, koska 4 numeroa on liian pieni vuoden 2020 standardien mukaan.
Tapa 15: Tyypilliset kuvasalasanat
Kuten edellä on kuvattu, voit poimia avauskuvion viidellä yrityksellä, kun sinulla on tietoja valvontakameroista, joissa laitteen omistaja yrittää avata sen lukituksen. Lisäksi, kuten on olemassa yleisiä PIN-koodeja, on olemassa yleisiä kuvioita, joita voidaan käyttää lukittujen mobiililaitteiden lukituksen avaamiseen [13, 14].
Yksinkertaiset kuviot [14]:
Keskikokoiset mallit [14]:
Monimutkaiset kuviot [14]:
Luettelo suosituimmista kaaviokuvioista tutkija Jeremy Kirbyn mukaan [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Joissakin mobiililaitteissa graafisen koodin lisäksi voidaan asettaa ylimääräinen PIN-koodi. Tässä tapauksessa, jos graafista koodia ei ole mahdollista löytää, tutkija voi napsauttaa painiketta Ylimääräinen PIN-koodi (toissijainen PIN) syötettyäsi väärän kuvakoodin ja yritä löytää ylimääräinen PIN-koodi.
Suojaussuositus: On parempi olla käyttämättä graafisia näppäimiä ollenkaan.
Tapa 16: Aakkosnumeeriset salasanat
Jos laitteessa voidaan käyttää aakkosnumeerista salasanaa, omistaja voi käyttää seuraavia suosittuja salasanoja suojakoodina [16]:
123456
salasana
123456789
12345678
12345
111111
1234567
auringonpaiste
qwerty
Minä rakastan sinua
принцесса
admin
tervetuloa
666666
abc123
jalkapallo
123123
apina
654321
! @ # $% ^ & *
Charlie
aa123456
donald
password1
qwerty123
Suojaussuositus: käytä vain monimutkaisia, ainutlaatuisia salasanoja, joissa on erikoismerkkejä ja erilaisia tapauksia. Tarkista, käytätkö jotakin yllä olevista salasanoista. Jos käytät - vaihda se luotettavampaan.
Tapa 17: pilvi tai paikallinen tallennus
Jos tietoja ei ole teknisesti mahdollista poistaa lukitusta laitteesta, rikolliset voivat etsiä sen varmuuskopioita laitteen omistajan tietokoneilta tai vastaavista pilvivarastoista.
Usein Apple-älypuhelimien omistajat eivät ymmärrä niitä tietokoneisiinsa yhdistäessään, että laitteesta voidaan luoda paikallinen tai pilvivarmuuskopio tällä hetkellä.
Google ja Apple pilvitallennus voivat tallentaa laitteista olevien tietojen lisäksi myös laitteen tallentamia salasanoja. Näiden salasanojen purkaminen voi auttaa arvaamaan mobiililaitteen suojakoodin.
Voit poimia iCloudiin tallennetusta avainnipusta omistajan asettaman laitteen varmuuskopion salasanan, joka todennäköisesti vastaa näytön lukituksen PIN-koodia.
Jos lainvalvontaviranomaiset kääntyvät Googlen ja Applen puoleen, yritykset voivat siirtää olemassa olevia tietoja, mikä todennäköisesti vähentää laitteen lukituksen avaamisen tarvetta, koska tiedot ovat jo lainvalvonnalla.
Esimerkiksi Pensoconin terrori-iskun jälkeen kopiot iCloudiin tallennetuista tiedoista luovutettiin FBI:lle. Applen lausunnosta:
”Annoimme muutaman tunnin sisällä FBI:n ensimmäisestä pyynnöstä, 6. joulukuuta 2019, laajan valikoiman tutkimukseen liittyvää tietoa. Joulukuun 7. ja 14. joulukuuta välisenä aikana saimme kuusi muuta oikeudellista pyyntöä ja toimitimme vastauksena tietoja, mukaan lukien iCloud-varmuuskopiot, tilitiedot ja useiden tilien tapahtumat.
Vastasimme jokaiseen pyyntöön nopeasti, usein muutamassa tunnissa, vaihtaen tietoja FBI:n toimistojen kanssa Jacksonvillessä, Pensacolassa ja New Yorkissa. Tutkinnan pyynnöstä saatiin monta gigatavua tietoa, jonka luovutimme tutkijoille." [17, 18, 19]
Suojaussuositus: kaikkea, jonka lähetät salaamattomana pilveen, voidaan ja tullaan käyttämään sinua vastaan.
Tapa 18: Google-tili
Tämä menetelmä sopii graafisen salasanan poistamiseen, joka lukitsee Android-käyttöjärjestelmää käyttävän mobiililaitteen näytön. Jotta voit käyttää tätä menetelmää, sinun on tiedettävä laitteen omistajan Google-tilin käyttäjätunnus ja salasana. Toinen ehto: laitteen on oltava yhteydessä Internetiin.
Jos syötät peräkkäin väärän kuvasalasanan useita kertoja peräkkäin, laite ehdottaa salasanan nollausta. Tämän jälkeen sinun on kirjauduttava sisään käyttäjätilille, joka avaa laitteen näytön lukituksen [5].
Erilaisten laitteistoratkaisujen, Android-käyttöjärjestelmien ja lisäsuojausasetusten vuoksi tätä menetelmää voidaan soveltaa vain useisiin laitteisiin.
Jos tutkijalla ei ole salasanaa laitteen omistajan Google-tilille, hän voi yrittää palauttaa sen tällaisten tilien tavallisilla salasanan palautusmenetelmillä.
Jos laite ei ole yhteydessä Internetiin tutkimuksen aikana (esimerkiksi SIM-kortti on tukossa tai sillä ei ole tarpeeksi rahaa), tällainen laite voidaan yhdistää Wi-Fi-verkkoon seuraavien ohjeiden avulla:
paina kuvaketta "Hätäpuhelu"
soita *#*#7378423#*#*
valitse Service Test - Wlan
muodosta yhteys käytettävissä olevaan Wi-Fi-verkkoon [5]
Suojaussuositus: älä unohda käyttää kaksivaiheista todennusta aina kun mahdollista, ja tässä tapauksessa on parempi linkittää sovellukseen, ei koodiin tekstiviestillä.
Tapa 19: vierastili
Mobiililaitteilla, joissa on Android 5 tai uudempi käyttöjärjestelmä, voi olla useita tilejä. Tilin lisätietoja ei saa lukita PIN-koodilla tai kuviolla. Vaihtaaksesi sinun on napsautettava tilikuvaketta oikeassa yläkulmassa ja valittava toinen tili:
Lisätilin osalta pääsyä joihinkin tietoihin tai sovelluksiin voidaan rajoittaa.
Suojaussuositus: On tärkeää päivittää käyttöjärjestelmä. Androidin nykyaikaisissa versioissa (9 ja uudemmat, joissa on heinäkuun 2020 tietoturvakorjaukset) vierastili ei yleensä tarjoa vaihtoehtoja.
Menetelmä 20: erikoispalvelut
Erikoistuneita rikosteknisiä ohjelmia kehittävät yritykset tarjoavat muun muassa palveluita mobiililaitteiden lukituksen avaamiseen ja tietojen poimimiseen niistä [20, 21]. Tällaisten palvelujen mahdollisuudet ovat yksinkertaisesti fantastiset. Niillä voidaan avata Android- ja iOS-laitteiden huippumallit sekä palautustilassa olevat laitteet (johon laite siirtyy ylitettyään virheellisten salasanan syöttöyritysten lukumäärän). Tämän menetelmän haittana on korkea hinta.
Ote Cellebriten verkkosivuston verkkosivulta, jossa kuvataan, mistä laitteista he voivat hakea tietoja. Laitteen lukitus voidaan avata kehittäjän laboratoriossa (Cellebrite Advanced Service (CAS)) [20]:
Tällaista palvelua varten laite on toimitettava yrityksen alueelliseen (tai pääkonttoriin). Asiantuntijan lähtö asiakkaan luo on mahdollista. Pääsääntöisesti näytön lukituskoodin murtaminen kestää yhden päivän.
Suojaussuositus: on lähes mahdotonta suojautua, paitsi vahvan aakkosnumeerisen salasanan käyttö ja vuosittainen laitteiden vaihto.
PS Group-IB Laboratoryn asiantuntijat puhuvat näistä tapauksista, työkaluista ja monista muista hyödyllisistä ominaisuuksista tietokonerikosteknisen asiantuntijan työssä osana koulutusta Digital Forensics Analyst. Suoritettuaan 5-päiväisen tai laajennetun 7-päivän kurssin valmistuneet pystyvät tehokkaammin suorittamaan rikosteknistä tutkimusta ja ehkäisemään kyberonnettomuuksia organisaatioissaan.
PPS-toiminta Group-IB Telegram-kanava Tietoturvasta, hakkereista, APT:stä, kyberhyökkäyksistä, huijareista ja merirosvoista. Askel askeleelta tutkimuksia, käytännön tapauksia Group-IB-teknologioilla ja suosituksia siitä, miten uhriksi ei joudu. Kytkeä!