In hun werk komen computerforensische experts regelmatig gevallen tegen waarin het nodig is om snel een smartphone te ontgrendelen. Zo zijn gegevens van de telefoon nodig voor het onderzoek om de redenen voor de zelfmoord van een tiener te begrijpen. In een ander geval helpen ze om op het spoor te komen van een criminele groep die vrachtwagenchauffeurs aanvalt. Er zijn natuurlijk leuke verhalen - ouders zijn het wachtwoord van de gadget vergeten en er was een video met de eerste stappen van hun baby erop, maar helaas zijn er maar een paar. Maar ze vragen ook om een professionele aanpak van het vraagstuk. In dit artikel Igor Mikhailov, specialist van het Group-IB Computer Forensics Laboratory, vertelt over manieren waarop forensische experts de smartphonevergrendeling kunnen omzeilen.
Belangrijk: dit artikel is geschreven om de veiligheid te evalueren van wachtwoorden en grafische patronen die worden gebruikt door eigenaren van mobiele apparaten. Als u besluit een mobiel apparaat te ontgrendelen met behulp van de beschreven methoden, onthoud dan dat u alle acties uitvoert om apparaten te ontgrendelen op eigen risico en risico. Bij het manipuleren van mobiele apparaten kunt u het apparaat vergrendelen, gebruikersgegevens wissen of een storing in het apparaat veroorzaken. Er worden ook aanbevelingen aan gebruikers gegeven over hoe ze het beschermingsniveau van hun apparaten kunnen verhogen.
De meest gebruikelijke methode om de toegang tot gebruikersinformatie op het apparaat te beperken, is dus het scherm van het mobiele apparaat te vergrendelen. Wanneer een dergelijk apparaat het forensisch laboratorium binnenkomt, kan het moeilijk zijn om ermee te werken, aangezien het voor een dergelijk apparaat onmogelijk is om de USB-foutopsporingsmodus te activeren (voor Android-apparaten), het is onmogelijk om toestemming te bevestigen voor de computer van de onderzoeker om hiermee te communiceren apparaat (voor mobiele Apple-apparaten), en als gevolg daarvan is het onmogelijk om toegang te krijgen tot gegevens die zijn opgeslagen in het geheugen van het apparaat.
Het feit dat de Amerikaanse FBI een groot bedrag heeft betaald om de iPhone van terrorist Syed Farouk, een van de deelnemers aan de terroristische aanslag in de Californische stad San Bernardino, te ontgrendelen, laat zien hoezeer de gebruikelijke schermvergrendeling van een mobiel apparaat specialisten verhindert om er gegevens uit halen [1].
Schermontgrendelingsmethoden voor mobiele apparaten
In de regel wordt het scherm van een mobiel apparaat vergrendeld:
- Symbolisch wachtwoord
- Grafisch wachtwoord
Ook kunnen SmartBlock-technologiemethoden worden gebruikt om het scherm van een aantal mobiele apparaten te ontgrendelen:
- Ontgrendelen met vingerafdruk
- Gezichtsontgrendeling (FaceID-technologie)
- Ontgrendel het apparaat door irisherkenning
Sociale methoden om een mobiel apparaat te ontgrendelen
Naast puur technische zijn er andere manieren om de pincode of grafische code (patroon) van de schermvergrendeling te achterhalen of te omzeilen. In sommige gevallen kunnen sociale methoden effectiever zijn dan technische oplossingen en helpen ze apparaten te ontgrendelen die zijn bezweken aan bestaande technische ontwikkelingen.
In dit gedeelte worden methoden beschreven voor het ontgrendelen van het scherm van een mobiel apparaat waarvoor geen (of slechts beperkte, gedeeltelijke) technische middelen nodig zijn.
Om sociale aanvallen uit te voeren, is het noodzakelijk om de psychologie van de eigenaar van een vergrendeld apparaat zo diep mogelijk te bestuderen, om de principes te begrijpen waarmee hij wachtwoorden of grafische patronen genereert en opslaat. Ook zal de onderzoeker een druppeltje geluk nodig hebben.
Bij het gebruik van methoden die verband houden met het raden van wachtwoorden, moet er rekening mee worden gehouden dat:
- Het invoeren van tien onjuiste wachtwoorden op mobiele apparaten van Apple kan ertoe leiden dat de gegevens van de gebruiker worden gewist. Dit is afhankelijk van de beveiligingsinstellingen die de gebruiker heeft ingesteld;
- op mobiele apparaten met het Android-besturingssysteem kan Root of Trust-technologie worden gebruikt, wat ertoe zal leiden dat gebruikersgegevens na het invoeren van 30 onjuiste wachtwoorden ontoegankelijk zijn of worden gewist.
Methode 1: vraag om een wachtwoord
Het lijkt misschien vreemd, maar u kunt het ontgrendelingswachtwoord achterhalen door het eenvoudig aan de eigenaar van het apparaat te vragen. Statistieken tonen aan dat ongeveer 70% van de eigenaren van mobiele apparaten bereid is hun wachtwoord te delen. Vooral als het de onderzoekstijd verkort en de eigenaar zijn apparaat daardoor sneller terugkrijgt. Als het niet mogelijk is om de eigenaar om het wachtwoord te vragen (de eigenaar van het apparaat is bijvoorbeeld overleden) of hij weigert het bekend te maken, kan het wachtwoord worden opgevraagd bij zijn naaste familieleden. In de regel kennen familieleden het wachtwoord of kunnen ze mogelijke opties voorstellen.
Beschermingsaanbeveling: Uw telefoonwachtwoord is een universele sleutel tot alle gegevens, inclusief betalingsgegevens. Praten, verzenden, schrijven in instant messengers is een slecht idee.
Methode 2: kijk naar het wachtwoord
Het wachtwoord kan worden bekeken op het moment dat de eigenaar het apparaat gebruikt. Zelfs als u het wachtwoord (teken of afbeelding) slechts gedeeltelijk onthoudt, zal dit het aantal mogelijke opties aanzienlijk verminderen, waardoor u het sneller kunt raden.
Een variant op deze methode is het gebruik van camerabeelden waarop te zien is hoe de eigenaar het apparaat ontgrendelt met een patroonwachtwoord [2]. Het algoritme beschreven in het werk "Cracking Android Pattern Lock in Five Attempts" [2] stelt u, door video-opnamen te analyseren, in staat om de opties voor een grafisch wachtwoord te raden en het apparaat in verschillende pogingen te ontgrendelen (in de regel vereist dit niet meer dan vijf pogingen). Volgens de auteurs "hoe complexer het patroonwachtwoord, hoe gemakkelijker het is om het op te halen."
Beschermingsaanbeveling: Het gebruik van een grafische sleutel is niet het beste idee. Het alfanumerieke wachtwoord is erg moeilijk te achterhalen.
Methode 3: vind het wachtwoord
Het wachtwoord is te vinden in de administratie van de eigenaar van het apparaat (bestanden op de computer, in de agenda, op stukjes papier die in documenten liggen). Als een persoon verschillende mobiele apparaten gebruikt en verschillende wachtwoorden heeft, dan vind je soms in het batterijcompartiment van deze apparaten of in de ruimte tussen de smartphonehoes en de hoes stukjes papier met geschreven wachtwoorden:
Beschermingsaanbeveling: u hoeft geen "notitieboekje" met wachtwoorden bij te houden. Dit is een slecht idee, tenzij bekend is dat al deze wachtwoorden vals zijn om het aantal ontgrendelingspogingen te verminderen.
Methode 4: vingerafdrukken (vegenaanval)
Met deze methode kunt u zweet-vetsporen van handen op het display van het apparaat identificeren. U kunt ze zien door het scherm van het apparaat te behandelen met een licht vingerafdrukpoeder (in plaats van een speciaal forensisch poeder kunt u babypoeder of ander chemisch inactief fijn poeder van witte of lichtgrijze kleur gebruiken) of door naar het scherm van de apparaat in schuine lichtstralen. Door de relatieve posities van handafdrukken te analyseren en aanvullende informatie te hebben over de eigenaar van het apparaat (bijvoorbeeld zijn geboortejaar kennen), kunt u proberen een tekst- of grafisch wachtwoord te raden. Zo ziet zweet-vetlaag eruit op het scherm van een smartphone in de vorm van een gestileerde letter Z:
Beschermingsaanbeveling: Zoals we al zeiden, is een grafisch wachtwoord geen goed idee, net als een bril met een slechte oleofobe coating.
Methode 5: kunstvinger
Als het apparaat kan worden ontgrendeld met een vingerafdruk en de onderzoeker heeft handafdrukvoorbeelden van de eigenaar van het apparaat, dan kan een 3D-kopie van de vingerafdruk van de eigenaar worden gemaakt op een 3D-printer en worden gebruikt om het apparaat te ontgrendelen [XNUMX]:
Voor een completere imitatie van de vinger van een levend persoon - bijvoorbeeld wanneer de vingerafdruksensor van de smartphone nog warmte detecteert - wordt het 3D-model op (leunt tegen) de vinger van een levend persoon geplaatst.
De eigenaar van het apparaat kan, zelfs als hij het wachtwoord voor schermvergrendeling vergeet, het apparaat zelf ontgrendelen met zijn vingerafdruk. Dit kan worden gebruikt in bepaalde gevallen waarin de eigenaar het wachtwoord niet kan geven, maar de onderzoeker toch wil helpen zijn apparaat te ontgrendelen.
De onderzoeker moet rekening houden met de generaties sensoren die in verschillende modellen mobiele apparaten worden gebruikt. Oudere sensormodellen kunnen door bijna elke vinger worden geactiveerd, niet noodzakelijkerwijs door de eigenaar van het apparaat. Moderne ultrasone sensoren daarentegen scannen heel diep en helder. Bovendien zijn een aantal moderne sensoren onder het scherm gewoon CMOS-camera's die de diepte van het beeld niet kunnen scannen, waardoor ze veel gemakkelijker voor de gek te houden zijn.
Beschermingsaanbeveling: Als een vinger, dan alleen een ultrasone sensor. Maar vergeet niet dat een vinger tegen je wil zetten veel gemakkelijker is dan een gezicht.
Methode 6: "eikel" (mokaanval)
Deze methode is beschreven door de Britse politie [4]. Het bestaat uit geheime bewaking van de verdachte. Op het moment dat de verdachte zijn telefoon ontgrendelt, grist de agent in burger hem hem uit de handen van de eigenaar en voorkomt hij dat het apparaat weer vergrendelt totdat het aan experts is overhandigd.
Beschermingsaanbeveling: Ik denk dat als dergelijke maatregelen tegen u worden gebruikt, de zaken slecht zijn. Maar hier moet je begrijpen dat willekeurige blokkering deze methode devalueert. En als u bijvoorbeeld herhaaldelijk op de vergrendelknop op de iPhone drukt, wordt de SOS-modus gestart, die bovendien FaceID uitschakelt en een toegangscode vereist.
Methode 7: fouten in algoritmen voor apparaatbesturing
In de nieuwsfeeds van gespecialiseerde bronnen kun je vaak berichten vinden waarin staat dat bepaalde acties met het apparaat het scherm ontgrendelen. Het vergrendelscherm van sommige apparaten kan bijvoorbeeld worden ontgrendeld door een inkomende oproep. Het nadeel van deze methode is dat de geconstateerde kwetsbaarheden in de regel snel door fabrikanten worden verholpen.
Een voorbeeld van een ontgrendelingsbenadering voor mobiele apparaten die vóór 2016 zijn uitgebracht, is het leeglopen van de batterij. Wanneer de batterij bijna leeg is, wordt het apparaat ontgrendeld en wordt u gevraagd de energie-instellingen te wijzigen. In dit geval moet je snel naar de pagina met beveiligingsinstellingen gaan en de schermvergrendeling uitschakelen [5].
Beschermingsaanbeveling: vergeet niet om het besturingssysteem van uw apparaat tijdig bij te werken, en als het niet langer wordt ondersteund, verander dan uw smartphone.
Methode 8: Kwetsbaarheden in programma's van derden
Kwetsbaarheden gevonden in applicaties van derden die op het apparaat zijn geïnstalleerd, kunnen ook geheel of gedeeltelijk toegang geven tot de gegevens van een vergrendeld apparaat.
Een voorbeeld van zo'n kwetsbaarheid is de diefstal van gegevens van de iPhone van Jeff Bezos, de hoofdeigenaar van Amazon. Een kwetsbaarheid in de WhatsApp-messenger, uitgebuit door onbekenden, leidde tot de diefstal van vertrouwelijke gegevens die waren opgeslagen in het geheugen van het apparaat [6].
Dergelijke kwetsbaarheden kunnen door onderzoekers worden gebruikt om hun doelen te bereiken - om gegevens uit vergrendelde apparaten te extraheren of om ze te ontgrendelen.
Beschermingsaanbeveling: U moet niet alleen het besturingssysteem bijwerken, maar ook de toepassingen die u gebruikt.
Methode 9: zakelijke telefoon
Zakelijke mobiele apparaten kunnen worden ontgrendeld door systeembeheerders van het bedrijf. Zakelijke Windows Phone-apparaten zijn bijvoorbeeld gekoppeld aan het Microsoft Exchange-account van een bedrijf en kunnen worden ontgrendeld door bedrijfsbeheerders. Voor zakelijke Apple-apparaten is er een Mobile Device Management-service vergelijkbaar met Microsoft Exchange. De beheerders kunnen ook het zakelijke iOS-apparaat ontgrendelen. Bovendien kunnen zakelijke mobiele apparaten alleen worden gekoppeld aan bepaalde computers die door de beheerder zijn opgegeven in de instellingen van het mobiele apparaat. Daarom kan een dergelijk apparaat zonder interactie met de systeembeheerders van het bedrijf niet worden aangesloten op de computer van de onderzoeker (of software- en hardwaresysteem voor forensische gegevensextractie).
Beschermingsaanbeveling: MDM is zowel slecht als goed in termen van bescherming. Een MDM-beheerder kan een apparaat altijd op afstand resetten. Bewaar in ieder geval geen gevoelige persoonsgegevens op een bedrijfsapparaat.
Methode 10: informatie van sensoren
Door de informatie te analyseren die is ontvangen van de sensoren van het apparaat, kunt u het wachtwoord voor het apparaat raden met behulp van een speciaal algoritme. Adam J. Aviv demonstreerde de haalbaarheid van dergelijke aanvallen met behulp van gegevens verkregen uit de versnellingsmeter van een smartphone. Tijdens het onderzoek slaagde de wetenschapper erin om in 43% van de gevallen het symbolische wachtwoord en in 73% het grafische wachtwoord correct te bepalen [7].
Beschermingsaanbeveling: Pas op welke apps je toestemming geeft om verschillende sensoren te volgen.
Methode 11: gezichtsontgrendeling
Net als bij een vingerafdruk hangt het succes van het ontgrendelen van een apparaat met FaceID-technologie af van welke sensoren en welk wiskundig apparaat in een bepaald mobiel apparaat worden gebruikt. Zo toonden de onderzoekers in het werk "Gezichtsherkenning op smartphone niet altijd veilig" [8] aan dat sommige van de bestudeerde smartphones werden ontgrendeld door simpelweg de foto van de eigenaar aan de camera van de smartphone te tonen. Dit is mogelijk wanneer slechts één camera aan de voorkant wordt gebruikt voor ontgrendeling, die niet de mogelijkheid heeft om beelddieptegegevens te scannen. Samsung zag zich na een reeks spraakmakende publicaties en video's op YouTube genoodzaakt een waarschuwing toe te voegen aan de firmware van zijn smartphones. Gezichtsontgrendeling Samsung:
Meer geavanceerde smartphonemodellen kunnen worden ontgrendeld met behulp van een masker of zelflerend apparaat. Zo maakt de iPhone X gebruik van een speciale TrueDepth-technologie [9]: de projector van het toestel projecteert met behulp van twee camera's en een infraroodzender een raster van meer dan 30 punten op het gezicht van de eigenaar. Zo'n apparaat kan worden ontgrendeld met behulp van een masker waarvan de contouren de contouren van het gezicht van de drager nabootsen. iPhone-ontgrendelingsmasker [000]:
Aangezien een dergelijk systeem erg complex is en niet werkt onder ideale omstandigheden (natuurlijke veroudering van de eigenaar treedt op, veranderingen in de gezichtsconfiguratie als gevolg van uitingen van emoties, vermoeidheid, gezondheidstoestand, enz.), Wordt het gedwongen om voortdurend zelf te leren. Daarom, als een andere persoon het ontgrendelde apparaat voor zich houdt, wordt zijn gezicht herinnerd als het gezicht van de eigenaar van het apparaat en zal hij in de toekomst de smartphone kunnen ontgrendelen met behulp van FaceID-technologie.
Beschermingsaanbeveling: gebruik geen ontgrendeling door "foto" - alleen systemen met volwaardige gezichtsscanners (FaceID van Apple en analogen op Android-apparaten).
De belangrijkste aanbeveling is om niet naar de camera te kijken, kijk gewoon weg. Zelfs als je één oog sluit, neemt de kans om te ontgrendelen enorm af, net als bij de aanwezigheid van handen op het gezicht. Daarnaast worden er slechts 5 pogingen gedaan om te ontgrendelen met gezicht (FaceID), waarna u een toegangscode moet invoeren.
Methode 12: Lekken gebruiken
Uitgelekte wachtwoorddatabases zijn een geweldige manier om de psychologie van de apparaateigenaar te begrijpen (ervan uitgaande dat de onderzoeker informatie heeft over de e-mailadressen van de apparaateigenaar). In het bovenstaande voorbeeld leverde een zoekopdracht naar een e-mailadres twee vergelijkbare wachtwoorden op die door de eigenaar werden gebruikt. Aangenomen kan worden dat het wachtwoord 21454162 of zijn afgeleiden (bijvoorbeeld 2145 of 4162) kan worden gebruikt als vergrendelingscode voor mobiele apparaten. (Door het e-mailadres van de eigenaar in lekdatabases te doorzoeken, wordt onthuld welke wachtwoorden de eigenaar mogelijk heeft gebruikt, onder meer om zijn mobiele apparaat te vergrendelen.)
Beschermingsaanbeveling: handel proactief, volg data over lekken en wijzig wachtwoorden die bij lekken worden opgemerkt tijdig!
Methode 13: algemene wachtwoorden voor apparaatvergrendeling
Bij de eigenaar wordt in de regel niet één mobiel apparaat in beslag genomen, maar meerdere. Vaak zijn er tientallen van dergelijke apparaten. In dit geval kunt u het wachtwoord van een kwetsbaar apparaat raden en proberen dit toe te passen op andere smartphones en tablets die bij dezelfde eigenaar in beslag zijn genomen.
Bij het analyseren van gegevens die van mobiele apparaten zijn geëxtraheerd, worden dergelijke gegevens weergegeven in forensische programma's (vaak zelfs bij het extraheren van gegevens van vergrendelde apparaten met behulp van verschillende soorten kwetsbaarheden).
Zoals je kunt zien in de schermafbeelding van een deel van het werkvenster van het UFED Physical Analyzer-programma, is het apparaat vergrendeld met een nogal ongebruikelijke fgkl-pincode.
Negeer andere gebruikersapparaten niet. Door bijvoorbeeld de wachtwoorden te analyseren die zijn opgeslagen in de webbrowsercache van de computer van de eigenaar van het mobiele apparaat, kan men de principes voor het genereren van wachtwoorden begrijpen waaraan de eigenaar zich hield. U kunt opgeslagen wachtwoorden op uw computer bekijken met behulp van het NirSoft-hulpprogramma [11].
Ook kunnen er op de computer (laptop) van de eigenaar van het mobiele apparaat Lockdown-bestanden staan die kunnen helpen om toegang te krijgen tot een vergrendeld mobiel Apple-apparaat. Deze methode zal hierna worden besproken.
Beschermingsaanbeveling: gebruik overal verschillende, unieke wachtwoorden.
Methode 14: algemene pincodes
Zoals eerder opgemerkt, gebruiken gebruikers vaak typische wachtwoorden: telefoonnummers, bankpassen, pincodes. Dergelijke informatie kan worden gebruikt om het geleverde apparaat te ontgrendelen.
Als al het andere niet lukt, kun je de volgende informatie gebruiken: de onderzoekers voerden een analyse uit en vonden de meest populaire pincodes (de opgegeven pincodes dekken 26,83% van alle wachtwoorden) [12]:
PIN
Frequentie, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
Als u deze lijst met pincodes toepast op een vergrendeld apparaat, wordt het ontgrendeld met een kans van ~26%.
Beschermingsaanbeveling: controleer uw pincode volgens de bovenstaande tabel en zelfs als deze niet overeenkomt, wijzigt u deze toch, want 4 cijfers zijn te klein volgens de normen van 2020.
Methode 15: Typische afbeeldingswachtwoorden
Zoals hierboven beschreven, kunt u met gegevens van bewakingscamera's waarop de eigenaar van het apparaat het probeert te ontgrendelen, in vijf pogingen een ontgrendelingspatroon oppikken. Bovendien zijn er, net zoals er generieke pincodes zijn, generieke patronen die kunnen worden gebruikt om vergrendelde mobiele apparaten te ontgrendelen [13, 14].
Simpele patronen [14]:
Patronen van gemiddelde complexiteit [14]:
Complexe patronen [14]:
Lijst met de meest populaire kaartpatronen volgens onderzoeker Jeremy Kirby [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
Op sommige mobiele apparaten kan naast de grafische code een extra pincode worden ingesteld. Als het in dit geval niet mogelijk is om een grafische code te vinden, kan de onderzoeker op de knop klikken Extra pincode (secundaire pincode) na het invoeren van een onjuiste beeldcode en probeer een extra pincode te vinden.
Beschermingsaanbeveling: Het is beter om helemaal geen grafische toetsen te gebruiken.
Methode 16: alfanumerieke wachtwoorden
Als een alfanumeriek wachtwoord op het apparaat kan worden gebruikt, kan de eigenaar de volgende populaire wachtwoorden als blokkeringscode gebruiken [16]:
- 123456
- wachtwoord
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- zonneschijn
- QWERTY
- iloveyou
- prinses
- beheerder
- welkom
- 666666
- abc123
- voetbal
- 123123
- aap
- 654321
-
- Charlie
- aa123456
- donald
- password1
- qwerty123
Beschermingsaanbeveling: gebruik alleen complexe, unieke wachtwoorden met speciale tekens en verschillende hoofdletters. Controleer of u een van de bovenstaande wachtwoorden gebruikt. Als u gebruikt - verander het in een betrouwbaardere.
Methode 17: cloud of lokale opslag
Als het technisch niet mogelijk is om gegevens van een vergrendeld apparaat te verwijderen, kunnen criminelen naar de back-upkopieën zoeken op de computers van de eigenaar van het apparaat of in de bijbehorende cloudopslag.
Eigenaars van Apple-smartphones realiseren zich vaak niet dat er op dit moment een lokale of cloudback-up van het apparaat kan worden gemaakt wanneer ze op hun computer worden aangesloten.
De cloudopslag van Google en Apple kan niet alleen gegevens van apparaten opslaan, maar ook wachtwoorden die door het apparaat zijn opgeslagen. Het extraheren van deze wachtwoorden kan helpen bij het raden van de blokkeringscode van het mobiele apparaat.
Vanuit de in iCloud opgeslagen sleutelhanger kunt u het back-upwachtwoord van het apparaat extraheren dat door de eigenaar is ingesteld en dat hoogstwaarschijnlijk overeenkomt met de pincode voor schermvergrendeling.
Als wetshandhavers zich tot Google en Apple wenden, kunnen de bedrijven bestaande gegevens overdragen, wat de noodzaak om het apparaat te ontgrendelen waarschijnlijk aanzienlijk zal verminderen, aangezien wetshandhavers de gegevens al hebben.
Zo werden na de terroristische aanslag in Pensocon kopieën van de in iCloud opgeslagen gegevens overgedragen aan de FBI. Uit de verklaring van Apple:
“Binnen enkele uren na het eerste verzoek van de FBI, op 6 december 2019, hebben we een breed scala aan informatie met betrekking tot het onderzoek verstrekt. Van 7 december tot 14 december hebben we zes aanvullende juridische verzoeken ontvangen en informatie verstrekt als reactie, waaronder iCloud-back-ups, accountgegevens en transacties voor meerdere accounts.
We reageerden snel op elk verzoek, vaak binnen enkele uren, en wisselden informatie uit met de FBI-kantoren in Jacksonville, Pensacola en New York. Op verzoek van het onderzoek zijn vele gigabytes aan informatie verkregen, die we hebben overhandigd aan de rechercheurs.” [17, 18, 19]
Beschermingsaanbeveling: alles wat u ongecodeerd naar de cloud stuurt, kan en zal tegen u worden gebruikt.
Methode 18: Google-account
Deze methode is geschikt voor het verwijderen van een grafisch wachtwoord dat het scherm vergrendelt van een mobiel apparaat met het Android-besturingssysteem. Om deze methode te gebruiken, moet u de gebruikersnaam en het wachtwoord van het Google-account van de eigenaar van het apparaat weten. Tweede voorwaarde: het apparaat moet verbonden zijn met internet.
Als u meerdere keren achter elkaar het verkeerde afbeeldingswachtwoord invoert, zal het apparaat aanbieden om het wachtwoord opnieuw in te stellen. Daarna moet u inloggen op het gebruikersaccount, waardoor het apparaatscherm wordt ontgrendeld [5].
Vanwege de verscheidenheid aan hardwareoplossingen, Android-besturingssystemen en aanvullende beveiligingsinstellingen is deze methode alleen van toepassing op een aantal apparaten.
Als de onderzoeker geen wachtwoord heeft voor het Google-account van de eigenaar van het apparaat, kan hij proberen het te herstellen met behulp van standaardmethoden voor wachtwoordherstel voor dergelijke accounts.
Als het apparaat op het moment van het onderzoek niet is verbonden met internet (de simkaart is bijvoorbeeld geblokkeerd of er staat niet genoeg geld op), dan kan zo'n apparaat worden verbonden met wifi met behulp van de volgende instructies:
- druk op het icoon "Noodoproep"
- bel *#*#7378423#*#*
- selecteer Servicetest - WLAN
- maak verbinding met een beschikbaar Wi-Fi-netwerk [5]
Beschermingsaanbeveling: vergeet niet om waar mogelijk tweefactorauthenticatie te gebruiken, en in dit geval is het beter met een link naar de applicatie en geen code via sms.
Methode 19: gastaccount
Mobiele apparaten met Android 5 en hoger kunnen meerdere accounts hebben. Aanvullende accountgegevens mogen niet worden vergrendeld met een pincode of patroon. Om over te schakelen, moet u op het accountpictogram in de rechterbovenhoek klikken en een ander account selecteren:
Voor een extra account kan de toegang tot sommige gegevens of applicaties beperkt zijn.
Beschermingsaanbeveling: het is belangrijk om het besturingssysteem bij te werken. In moderne versies van Android (9 en hoger met beveiligingspatches van juli 2020) biedt het gastaccount meestal geen opties.
Methode 20: gespecialiseerde diensten
Bedrijven die onder meer gespecialiseerde forensische programma's ontwikkelen, bieden diensten aan voor het ontgrendelen van mobiele apparaten en het extraheren van gegevens daaruit [20, 21]. De mogelijkheden van dergelijke diensten zijn gewoon fantastisch. Ze kunnen worden gebruikt om topmodellen van Android- en iOS-apparaten te ontgrendelen, evenals apparaten die zich in de herstelmodus bevinden (die het apparaat opent na het overschrijden van het aantal onjuiste wachtwoordinvoerpogingen). Het nadeel van deze methode zijn de hoge kosten.
Een uittreksel van een webpagina op de website van Cellebrite die beschrijft van welke apparaten ze gegevens kunnen ophalen. Het apparaat kan worden ontgrendeld in het laboratorium van de ontwikkelaar (Cellebrite Advanced Service (CAS)) [20]:
Voor een dergelijke service moet het apparaat worden verstrekt aan het regionale (of hoofdkantoor) kantoor van het bedrijf. Vertrek van de expert naar de klant is mogelijk. Het kraken van de schermvergrendelingscode duurt in de regel één dag.
Beschermingsaanbeveling: het is bijna onmogelijk om jezelf te beschermen, behalve het gebruik van een sterk alfanumeriek wachtwoord en de jaarlijkse verandering van toestellen.
PS Group-IB Laboratoriumexperts praten over deze cases, tools en vele andere handige functies in het werk van een computer forensisch specialist als onderdeel van een training . Na het voltooien van een 5-daagse of verlengde 7-daagse cursus, zullen afgestudeerden in staat zijn om effectiever forensisch onderzoek uit te voeren en cyberincidenten in hun organisaties te voorkomen.
PPS-actie over informatiebeveiliging, hackers, APT, cyberaanvallen, oplichters en piraten. Stapsgewijze onderzoeken, praktijkcases met behulp van Group-IB-technologieën en aanbevelingen om geen slachtoffer te worden. Aansluiten!
bronnen
- Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang.
- Dominic Casciani, Gaetan Portal.
- Anatoly Alizar.
- Maria Nefedova.
- Anton Makarov. Omzeil patroonwachtwoord op Android-apparaten
- Jeremy Kirby.
- Andrej Smirnov.
- Maria Nefedova.
Bron: www.habr.com