Como contornar a criptografia e a segurança de um smartphone Android? Coloque-o no congelador

Como contornar a criptografia e a segurança de um smartphone Android? Coloque-o no congelador

Os pesquisadores de segurança da Universidade de Erlangen-Nuremberg, na Alemanha, têm mostrado que eles podem extrair fotos, histórico de navegação e listas de contatos de smartphones Android, mesmo se o telefone estiver bloqueado e o disco criptografado. O software, chamado FROST, tem sido de código aberto por pesquisadores e é razoavelmente fácil de usar, se você estiver interessado em replicar os resultados. Há uma ressalva, porém: Como o nome sugere, você precisa colocar o telefone primeiro no congelador.

O vetor de ataque utilizado por Tilo Müller, Michael Spreitzenbarth, e Felix Freiling é referido como um ataque de arranque a frio. Reiniciar (ou iniciar de forma forçada) é onde você reinicializa o sistema, cortando a energia completamente, e depois a liga novamente. Quando você reinicia um computador normalmente (ou seja, uma reinicialização a quente), geralmente há processos em lugares que evidentemente acorre à limpeza da memória do sistema, mas pela inicialização a frio e ignorando esses processos, o conteúdo de qualquer RAM fica preservado.

Seis dumps sucessivos de RAM de um Nexus Galaxy, como a sua RAM lentamente perde a integridade dos dados.

“Mas a RAM é volátil”, você argumenta. “A RAM perde seus dados assim que a energia é cortada,” você fundamenta – e, sim, até certo ponto, você está certo. A RAM é volátil, e isso requer picos regulares de energia para manter os seus dados – mas quando a energia é cortada, realmente leva alguns segundos ou minutos para que os dados sejam perdidos. Se você tem alguma maneira de ler a memória RAM, você pode extrair todos os tipos de informações sensíveis – mais notavelmente, a chave de criptografia usada para criptografar o disco rígido ou memória flash. Esta falha (recurso?) é chamada remanência de dados, e também se refere à tendência para discos rígidos e outros suportes magnéticos para preservar dados, mesmo depois de ser apagado.

Como contornar a criptografia e a segurança de um smartphone Android? Coloque-o no congelador

A leitura da memória RAM é difícil, no entanto. No caso de computadores maiores, você pode fisicamente transplantar o bastão de memória RAM para outro computador, e ler o conteúdo da memória lá. Com dispositivos embarcados, tais como smartphones, você não tem essa opção – e é neste ponto que o FROST (Forensic Recovery Of Scrambled Telephones) entra. Em resumo, FROST é uma imagem de recuperação do Android – muito parecido com o ClockworkMod – que dá acesso a todos os dados armazenados na memória RAM após um arranque a frio. A partir do menu principal do FROST, você pode tentar recuperar os dados completos do disco criptografado (FDE), chaves de RAM, ou simplesmente despejar todo o conteúdo da RAM via USB e transferi-lo para outro PC para uma análise posterior.

Como contornar a criptografia e a segurança de um smartphone Android? Coloque-o no congeladorAgora, como dissemos, pode levar de alguns segundos a poucos minutos para a memória RAM perder seus dados. Uma das variáveis ​​que causa esta variação é a temperatura; quanto mais baixa estiver a temperatura da RAM, por mais tempo os dados serão preservados. Em um trabalho de pesquisa particularmente impressionante, o nitrogênio líquido foi utilizado para preservar o conteúdo de DRAM por uma semana inteira. Neste caso em particular, porém, os pesquisadores de segurança colocaram um Samsung Galaxy Nexus num congelador por uma hora, até que a temperatura interna do telefone caiu para 10C (50F). Então, através de uma rápida remoção e inserção da bateria (que deve ser feito em menos de 500 milissegundos), e entrando no FROST, eles foram capazes de fazer um dump completo da memória RAM do telefone. Sem o congelador a memória RAM do telefone perderia seus dados antes que pudesse ser recuperada.

Enquanto FROST é notável como o primeiro exemplo bem sucedido de um ataque de inicialização a frio no Android, o FROST é apenas o mais recente em uma longa linha de ferramentas de ataque a arranque a frio. Em um mundo onde a criptografia total de disco é norma e não a exceção em círculos criminais, a capacidade de recuperar as chaves de criptografia da memória é de vital importância para o FBI, CIA e outras agências de inteligência ao redor do mundo. Agora é prática padrão para algumas forças policiais ter a absoluta certeza de que os computadores não são desligados durante os ataques, até serem totalmente verificados quanto às chaves de criptografia e quaisquer outros dados que ainda possam estar na RAM. Existem defesas que podem ser empregadas contra ataques de inicialização a frio, como não armazenar chaves de criptografia na memória RAM, mas por agora parece que o Android, pelo menos, ainda é vulnerável.




Não há comentários

Adicione o seu