計算機取證專家在工作中經常遇到需要快速解鎖智能手機的情況。 例如,調查需要手機數據來了解青少年自殺的原因。 在另一種情況下,他們將幫助追踪攻擊卡車司機的犯罪團伙。 當然,還有一些可愛的故事——父母忘記了小工具的密碼,還有一段視頻,上面寫著他們寶寶的第一步,但不幸的是,這樣的故事只有幾個。 但他們也需要用專業的方法來解決這個問題。 在本文中 Igor Mikhailov,IB 集團計算機取證實驗室專家,討論了允許法醫專家繞過智能手機鎖的方法。
重要提示:本文旨在評估移動設備所有者使用的密碼和圖形模式的安全性。 如果您決定使用所描述的方法解鎖移動設備,請記住,您需要自行承擔執行解鎖設備的所有操作的風險。 操作移動設備時,您可能會鎖定設備、刪除用戶數據或導致設備發生故障。 還向用戶提供有關如何提高設備保護級別的建議。
因此,限制訪問設備中包含的用戶信息的最常見方法是鎖定移動設備的屏幕。 當這樣的設備進入法醫實驗室時,使用它可能會很困難,因為對於這樣的設備,無法激活USB調試模式(對於Android設備),也無法確認檢查者的計算機與其交互的權限設備(對於 Apple 移動設備),並且因此無法訪問設備內存中存儲的數據。
美國聯邦調查局 (FBI) 花費巨資解鎖恐怖分子賽義德·法魯克 (Syed Farouk)(加州聖貝納迪諾市恐怖襲擊的參與者之一)的 iPhone,這一事實表明,移動設備的常見屏幕鎖定在多大程度上阻礙了專家的操作。從中提取數據[1]。
移動設備屏幕解鎖方法
通常,使用以下方法鎖定移動設備的屏幕:
- 符號密碼
- 圖形密碼
此外,SmartBlock 技術方法可用於解鎖多種移動設備的屏幕:
- 指紋解鎖
- 人臉解鎖(FaceID技術)
- 通過虹膜識別解鎖設備
解鎖移動設備的社交方法
除了純粹的技術方法之外,還有其他方法可以找出或克服屏幕鎖定的 PIN 碼或圖形代碼(圖案)。 在某些情況下,社交方法可能比技術解決方案更有效,並有助於解鎖屈服於現有技術發展的設備。
本節將描述不需要(或僅需要有限、部分)使用技術手段的移動設備屏幕解鎖方法。
要進行社交攻擊,有必要盡可能深入地研究鎖定設備所有者的心理,了解他生成和保存密碼或圖形模式的原理。 此外,研究人員還需要一點運氣。
在使用與密碼猜測相關的方法時,應記住:
- 在 Apple 移動設備上輸入十次錯誤密碼可能會導致用戶數據被刪除。 這取決於用戶設置的安全設置;
- 在運行Android操作系統的移動設備上,可以使用Root of Trust技術,這將導致在輸入30次錯誤密碼後,用戶數據將無法訪問或被刪除。
方法一:詢問密碼
這可能看起來很奇怪,但您只需詢問設備的所有者就可以找到解鎖密碼。 統計數據顯示,大約 70% 的移動設備所有者願意分享他們的密碼。 特別是如果它會縮短研究時間,相應地,所有者將更快地取回他的設備。 如果無法向所有者詢問密碼(例如設備所有者已去世)或他拒絕透露密碼,則可以從其近親處獲取密碼。 一般來說,親戚知道密碼或者可以建議可能的選擇。
防護建議: 您的手機密碼是所有數據(包括付款數據)的通用密鑰。 在即時通訊工具中談論、傳輸、書寫它是一個壞主意。
方法二:偷看密碼
機主使用設備時密碼可被偷看。 即使您僅記住部分密碼(字符或圖形),這也會顯著減少可能的選項數量,從而使您能夠更快地猜出密碼。
這種方法的一個變體是使用閉路電視錄像,顯示所有者使用圖案密碼解鎖設備 [2]。 《五次嘗試破解 Android 模式鎖》[2] 中描述的算法,通過分析視頻記錄,可以讓您猜測圖形密碼的選項,並在多次嘗試中解鎖設備(通常,這不需要更多嘗試)超過五次嘗試)。 作者表示,“圖形密碼越複雜,就越容易被破解。”
防護建議: 使用圖形鍵並不是最好的主意。 字母數字密碼很難被偷看。
方法三:查找密碼
密碼可以在設備所有者的記錄中找到(計算機上的文件、日記中、文檔中的紙片)。 如果一個人使用多個不同的移動設備並且它們有不同的密碼,那麼有時在這些設備的電池倉或智能手機外殼與外殼之間的空間中,您可以找到寫有密碼的紙片:
防護建議: 無需保留帶有密碼的“筆記本”。 這是一個壞主意,除非已知所有這些密碼都是錯誤的以減少解鎖嘗試的次數。
方法4:指紋(Smudge攻擊)
通過此方法,您可以在設備顯示屏上識別手部的汗脂痕跡。 您可以通過用輕微的指紋粉處理設備的屏幕(您可以使用嬰兒爽身粉或其他白色或淺灰色的化學惰性細粉,而不是特殊的法醫粉末)或通過查看設備的屏幕來看到它們。裝置在傾斜的光線中。 通過分析手印的相對位置並了解有關設備所有者的其他信息(例如,知道他的出生年份),您可以嘗試猜測文本或圖形密碼。 這就是智能手機顯示屏上汗脂分層的樣子,以程式化的字母 Z 的形式呈現:
防護建議: 正如我們所說,圖形密碼不是一個好主意,就像疏油塗層較差的眼鏡一樣。
方法五:人造手指
如果設備可以使用指紋解鎖,並且研究人員擁有設備所有者的手印樣本,那麼可以在 3D 打印機上製作所有者指紋的 3D 副本並用於解鎖設備 [XNUMX]:
為了更完整地模仿活人的手指 - 例如,當智能手機的指紋傳感器仍然檢測到熱量時 - 將 3D 模型放在(靠在)活人的手指上。
設備所有者即使忘記了屏幕鎖定密碼,也可以使用指紋自行解鎖設備。 這可以在所有者無法提供密碼但願意幫助研究人員解鎖其設備的某些情況下使用。
研究人員應該記住各種型號的移動設備中使用的傳感器的代數。 舊型號的傳感器幾乎可以由任何手指觸發,不一定是設備所有者。 相反,現代超聲波傳感器的掃描非常深入且清晰。 此外,許多現代的屏下傳感器只是 CMOS 攝像頭,無法掃描圖像的深度,這使得它們更容易被欺騙。
防護建議: 如果是手指,則只有超聲波傳感器。 但不要忘記,違背自己的意願用手指比用臉容易得多。
方法六:“jerk”(馬克杯攻擊)
英國警方描述了這種方法[4]。 它包括對嫌疑人的秘密監視。 當嫌疑人解鎖手機時,便衣特工就會從失主手中奪走手機,並阻止設備再次鎖定,直到將其交給專家。
防護建議: 我認為如果這些措施被用來對付你,那麼事情就很糟糕了。 但這裡你需要明白,隨機阻塞會讓這種方法貶值。 例如,反复按下 iPhone 上的鎖定按鈕會啟動 SOS 模式,該模式除了關閉 FaceID 之外,還需要輸入密碼。
方法七:設備控制算法錯誤
在專門資源的新聞源中,您經常可以找到消息,說明設備的某些操作會解鎖其屏幕。 例如,某些設備的鎖屏可以通過來電解鎖。 這種方法的缺點是,所識別的漏洞通常會被製造商立即消除。
2016 年之前發布的移動設備的解鎖方法的一個例子是電池消耗。 當電池電量不足時,設備將解鎖並提示您更改電源設置。 在這種情況下,您需要快速進入安全設置頁面並禁用屏幕鎖定[5]。
防護建議: 不要忘記及時更新您設備的操作系統,如果不再支持,請更換您的智能手機。
方法八:第三方程序漏洞
設備上安裝的第三方應用程序中發現的漏洞也可能完全或部分提供對鎖定設備數據的訪問。
此類漏洞的一個例子是亞馬遜主要所有者傑夫·貝佐斯 (Jeff Bezos) 的 iPhone 數據被盜。 WhatsApp Messenger 中的漏洞被身份不明的人利用,導致設備內存中存儲的機密數據被盜 [6]。
研究人員可以利用此類漏洞來實現他們的目標——從鎖定的設備中提取數據或解鎖它們。
防護建議: 您不僅需要更新操作系統,還需要更新您使用的應用程序。
方法九:公司電話
企業移動設備可由公司係統管理員解鎖。 例如,公司的 Windows Phone 設備鏈接到公司的 Microsoft Exchange 帳戶,並且可以由公司管理員解鎖。 對於企業 Apple 設備,有類似於 Microsoft Exchange 的移動設備管理服務。 其管理員還可以解鎖企業 iOS 設備。 此外,企業移動設備只能與管理員在移動設備設置中指定的某些計算機配對。 因此,如果不與公司的系統管理員進行交互,這樣的設備就無法連接到研究人員的計算機(或用於取證數據提取的軟硬件系統)。
防護建議: MDM 在保護方面既是邪惡的,也是好的。 MDM 管理員始終可以遠程重置設備。 無論如何,您都不應該在公司設備上存儲敏感的個人數據。
方法10:來自傳感器的信息
通過分析從設備傳感器接收到的信息,您可以使用特殊算法猜測設備的密碼。 Adam J. Aviv 使用從智能手機加速計獲得的數據證明了此類攻擊的可行性。 在研究過程中,科學家成功地在 43% 的情況下正確確定了符號密碼,在 73% 的情況下正確確定了圖形密碼 [7]。
防護建議: 請注意您授予哪些應用程序跟踪不同傳感器的權限。
方法十一:人臉解鎖
與指紋的情況一樣,使用 FaceID 技術解鎖設備的成功取決於特定移動設備中使用的傳感器和數學設備。 因此,在《Gezichtsherkenning op smartphone niet altijd veilig》[8] 中,研究人員表明,一些研究的智能手機只需向智能手機的攝像頭顯示所有者的照片即可解鎖。 當僅使用一個前置攝像頭進行解鎖且不具備掃描圖像深度數據的能力時,這是可能的。 在 YouTube 上發布一系列高調出版物和視頻後,三星被迫在其智能手機固件中添加警告。 三星人臉解鎖:
更先進的智能手機可以使用面罩或設備自學習來解鎖。 例如,iPhone X 使用了一種特殊的 TrueDepth 技術 [9]:該設備的投影儀使用兩個攝像頭和一個紅外發射器,將由 30 多個點組成的網格投影到所有者的臉上。 這種設備可以使用輪廓模仿佩戴者面部輪廓的面罩來解鎖。 iPhone解鎖面具[000]:
由於這樣的系統非常複雜,並且不能在理想條件下工作(主人自然衰老、由於情緒表達、疲勞、健康狀況等而導致面部結構的變化),因此它被迫不斷地自學習。 因此,如果另一個人將解鎖的設備放在他面前,他的臉將被記住為設備所有者的臉,並且將來他將能夠使用 FaceID 技術解鎖智能手機。
防護建議: 請勿使用“照片”解鎖 - 僅適用於配備成熟面部掃描儀的系統(Apple 的 FaceID 和 Android 設備上的類似設備)。
主要建議是不要看相機,只需看向別處即可。 即使你閉上一隻眼睛,解鎖的機會也會大大下降,就像手放在臉上一樣。 此外,面部解鎖(FaceID)僅可嘗試 5 次,之後您將需要輸入密碼。
方法 12:使用洩漏
洩露的密碼數據庫是了解設備所有者心理的好方法(假設研究人員掌握有關設備所有者的電子郵件地址的信息)。 在上面的示例中,搜索電子郵件地址返回了所有者使用的兩個相似密碼。 可以假設密碼21454162或其派生詞(例如2145或4162)可以用作移動設備鎖定碼。 (在洩露數據庫中搜索所有者的電子郵件地址可以揭示所有者可能使用的密碼,包括鎖定其移動設備的密碼。)
防護建議: 積極主動,追踪洩露數據,及時更改發現洩露的密碼!
方法 13:通用設備鎖定密碼
通常,所有者不會沒收一台移動設備,而是多台。 通常有數十個這樣的設備。 在這種情況下,您可以猜測易受攻擊的設備的密碼,並嘗試將其應用於從同一所有者手中奪取的其他智能手機和平板電腦。
當分析從移動設備提取的數據時,此類數據會顯示在取證程序中(通常甚至在使用各種類型的漏洞從鎖定設備中提取數據時也是如此)。
正如您在 UFED 物理分析器程序的部分工作窗口的屏幕截圖中看到的,該設備被一個相當不尋常的 fgkl PIN 碼鎖定。
不要忽視其他用戶設備。 例如,通過分析移動設備所有者計算機的網絡瀏覽器緩存中存儲的密碼,可以了解所有者遵循的密碼生成原則。 您可以使用 NirSoft 實用程序查看計算機上保存的密碼 [11]。
此外,在移動設備所有者的計算機(筆記本電腦)上,可能存在可幫助訪問鎖定的 Apple 移動設備的鎖定文件。 接下來將討論該方法。
防護建議: 到處使用不同的、唯一的密碼。
方法 14:通用 PIN
如前所述,用戶經常使用典型的密碼:電話號碼、銀行卡、PIN 碼。 此類信息可用於解鎖所提供的設備。
如果一切都失敗了,你可以使用以下信息:研究人員進行了分析,找到了最流行的 PIN 碼(給定的 PIN 碼覆蓋了所有密碼的 26,83%)[12]:
密碼
頻率, %
1234
10,713
1111
6,016
0000
1,881
1212
1,197
7777
0,745
1004
0,616
2000
0,613
4444
0,526
2222
0,516
6969
0,512
9999
0,451
3333
0,419
5555
0,395
6666
0,391
1122
0,366
1313
0,304
8888
0,303
4321
0,293
2001
0,290
1010
0,285
將此 PIN 碼列表應用於鎖定的設備將有大約 26% 的概率解鎖它。
防護建議: 根據上表檢查您的 PIN 碼,即使不匹配,也要更改它,因為按照 4 年的標準,2020 位數字太小了。
方法15:典型圖片密碼
如上所述,通過設備所有者嘗試解鎖的監控攝像頭的數據,您可以在五次嘗試中獲取解鎖圖案。 此外,正如通用 PIN 碼一樣,也有通用模式可用於解鎖鎖定的移動設備 [13, 14]。
簡單模式[14]:
中等複雜度的模式[14]:
複雜模式[14]:
根據研究員 Jeremy Kirby [15] 的說法,列出了最流行的圖表模式。
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5
在某些移動設備上,除了圖形代碼之外,還可以設置附加的 PIN 代碼。 在這種情況下,如果無法找到圖形代碼,研究人員可以單擊按鈕 附加 PIN 碼 (輔助 PIN 碼)輸入錯誤的圖片代碼後,嘗試查找其他 PIN 碼。
防護建議: 最好根本不使用圖形鍵。
方法 16:字母數字密碼
如果設備上可以使用字母數字密碼,則所有者可以使用以下流行密碼作為鎖定代碼 [16]:
- 123456
- 密碼
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- 陽光
- QWERTY
- ILOVEYOU
- 公主
- 管理員
- 歡迎
- 666666
- abc123
- 足球
- 123123
- 猴子
- 654321
- !@#$%^&*
- 查理
- aa123456
- 唐納德
- password1
- qwerty123
防護建議: 僅使用具有特殊字符和不同大小寫的複雜、獨特的密碼。 檢查您是否使用上述密碼之一。 如果您使用 - 將其更改為更可靠的。
方法17:雲端或本地存儲
如果技術上無法從鎖定設備中刪除數據,犯罪分子可以在設備所有者的計算機或相應的雲存儲中搜索其備份副本。
通常,Apple 智能手機的所有者在將其連接到計算機時並沒有意識到此時可以創建設備的本地或云備份副本。
谷歌和蘋果的雲存儲不僅可以存儲設備中的數據,還可以存儲設備保存的密碼。 提取這些密碼可以幫助猜測移動設備的鎖定代碼。
從存儲在 iCloud 中的鑰匙串中,您可以提取所有者設置的設備備份密碼,該密碼很可能與屏幕鎖定 PIN 碼匹配。
如果執法部門轉向谷歌和蘋果,這些公司可以轉移現有數據,這可能會大大減少解鎖設備的需要,因為執法部門已經擁有這些數據。
例如,Pensocon 恐怖襲擊事件發生後,存儲在 iCloud 中的數據副本被移交給 FBI。 來自蘋果的聲明:
“6 年 2019 月 7 日,在 FBI 首次提出請求後的幾個小時內,我們提供了與調查相關的廣泛信息。 從 14 月 XNUMX 日到 XNUMX 月 XNUMX 日,我們又收到了 XNUMX 個法律請求,並提供了回應信息,包括 iCloud 備份、帳戶信息和多個帳戶的交易。
我們及時回應每一個請求,通常在幾個小時內,與傑克遜維爾、彭薩科拉和紐約的聯邦調查局辦公室交換信息。 應調查要求,我們獲得了許多千兆字節的信息,並將其交給了調查人員。” [17]
防護建議: 您發送到雲端的任何未加密內容都可能並且將會被用來對付您。
方法18:谷歌賬戶
該方法適用於Android操作系統移動設備鎖屏圖形密碼的解除。 要使用此方法,您需要知道設備所有者的 Google 帳戶的用戶名和密碼。 第二個條件:設備必須連接到互聯網。
如果連續多次輸入錯誤的圖片密碼,設備將提示重置密碼。 之後,您需要登錄用戶帳戶,這將解鎖設備屏幕 [5]。
由於硬件解決方案、Android 操作系統和附加安全設置的多樣性,此方法僅適用於多種設備。
如果研究人員沒有設備所有者的 Google 帳戶密碼,他們可以嘗試使用此類帳戶的標準密碼恢復方法來恢復該密碼。
如果設備在研究時未連接到互聯網(例如,SIM 卡被阻止或卡上沒有足夠的錢),則可以使用以下說明將此類設備連接到 Wi-Fi:
- 按“緊急呼叫”圖標
- 撥打*#*#7378423#*#*
- 選擇服務測試 - WLAN
- 連接到可用的 Wi-Fi 網絡 [5]
防護建議: 不要忘記盡可能使用雙因素身份驗證,在這種情況下,最好鏈接到應用程序,而不是通過短信鏈接到代碼。
方法19:訪客賬戶
運行 Android 5 及更高版本的移動設備可以擁有多個帳戶。 附加帳戶信息可能無法通過 PIN 碼或圖案鎖定。 如需切換,您需要點擊右上角的賬戶圖標,選擇另一個賬戶:
對於附加帳戶,對某些數據或應用程序的訪問可能會受到限制。
防護建議: 更新操作系統很重要。 在現代版本的 Android(9 及更高版本,帶有 2020 年 XNUMX 月安全補丁)中,來賓帳戶通常不提供任何選項。
方法20:專業化服務
除其他外,開發專門取證程序的公司還提供解鎖移動設備並從中提取數據的服務 [20, 21]。 此類服務的可能性簡直太棒了。 它們可用於解鎖頂級型號的 Android 和 iOS 設備,以及處於恢復模式的設備(設備在超過錯誤密碼輸入嘗試次數後進入恢復模式)。 這種方法的缺點是成本高。
Cellebrite 網站上的網頁摘錄,描述了他們可以從哪些設備檢索數據。 該設備可以在開發者實驗室(Cellebrite Advanced Service (CAS))解鎖[20]:
對於此類服務,必須將設備提供給公司的區域(或總部)辦事處。 專家可以離開去見客戶。 一般來說,破解屏幕鎖碼需要一天的時間。
防護建議: 除了使用強字母數字密碼和每年更換設備之外,幾乎不可能保護自己。
作為培訓課程的一部分,PS Group-IB 實驗室專家談論計算機取證專家工作中的這些案例、工具和許多其他有用功能 。 完成為期 5 天或延長的 7 天課程後,畢業生將能夠更有效地進行取證研究並預防組織中的網絡事件。
PPS 行動 關於信息安全、黑客、APT、網絡攻擊、詐騙者和盜版。 逐步調查、使用 Group-IB 技術的實際案例以及如何不成為受害者的建議。 連接!
來源
- Guixin Yey,Zhanyong Tang,Dingyi Fangy,Xiao Jiang Cheny,Kwang Kimz,Ben Taylorx,Zheng Wang。
- 多米尼克·卡西亞尼,Gaetan Portal。
- 阿納托利·阿利薩爾.
- 瑪麗亞·內費多娃。
- 安東·馬卡洛夫。 在 Android 設備上繞過圖案密碼
- 傑里米·柯比.
- 安德烈·斯米爾諾夫
- 瑪麗亞·內費多娃。
來源: www.habr.com