Slik omgår du kryptering og sikkerhet for en Android-smarttelefon: Sett den i fryseren

Galaxy Nexus, i fryseren, er i ferd med å hoste opp krypteringsnøklene via et kaldstartangrep

Sikkerhetsforskere ved Universitetet i Erlangen-Nürnberg i Tyskland har vist at de kan hente ut bilder, surfinghistorikk og kontaktlister fra Android-smarttelefoner, selv om telefonen er låst og disken er kryptert. Programvaren, kalt FROST, har blitt hentet fra forskerne og er rimelig enkel å bruke, hvis du er interessert i å replikere resultatene. Det er imidlertid en advarsel: Som navnet antyder, må du først sette telefonen i fryseren.

Angrepsvektoren brukt av Tilo Müller, Michael Spreitzenbarth og Felix Freiling blir referert til som en kaldstartangrep . Cold booting (eller hard booting) er der du starter et system på nytt ved å kutte strømmen helt, og deretter slå på igjen. Når du starter en datamaskin på nytt normalt (dvs. en varm omstart), er det vanligvis prosesser på plass som rydder / renser systemets minne - men ved kaldstart og forbikjøring av disse prosessene bevares innholdet i RAM.



RAM mister sakte dataintegriteten, som gjenopprettet av FROST

Seks påfølgende RAM-dumper fra en Galaxy Nexus, ettersom RAM sakte mister dataintegriteten.



'Men RAM er ustabilt,' sier du. 'RAM mister dataene så snart strømmen er kuttet,' ber du - og ja, til en viss grad har du rett. RAM er ustabilt, og det krever regelmessige spikes av kraft for å beholde dataene - men når strømmen blir kuttet, tar det faktisk noen sekunder eller minutter før dataene går tapt. Hvis du har noen måte å lese RAM-en på, kan du trekke ut all slags sensitiv informasjon - spesielt krypteringsnøkkelen som brukes til å kryptere den lokale harddisken eller flash-lagring. Denne feilen (funksjon?) Kalles data remanence, og det refererer også til tendensen for harddisker og andre magnetiske medier til å bevare data, selv etter å ha blitt tørket.

Gjenoppretter FDE-krypteringsnøkler, med FROST



Å lese RAM er vanskelig, skjønt. Når det gjelder større datamaskiner, kan du fysisk overføre RAM-minnepinnen til en annen datamaskin og lese av minneinnholdet der. Med innebygde enheter, for eksempel smarttelefoner, har du ikke det alternativet - det er her FROST (Forensic Recovery of Scrambled Telefones) kommer inn. Kort sagt, FROST er et Android-gjenopprettingsbilde - mye som ClockworkMod - som gir deg tilgang til alle data som er lagret i RAM etter en kald oppstart. Fra FROST-hovedmenyen kan du prøve å gjenopprette FDE-nøklene (full-disk encryption) fra RAM, eller bare dumpe hele innholdet av RAM via USB til en annen PC for videre analyse. (Se: Full diskkryptering er for bra, sier USAs etterretningsbyrå .)

En Galaxy Nexus i fryseren, som forbereder seg på å gi opp krypteringsnøkleneNå, som vi nevnte, kan det ta alt fra noen få sekunder til noen minutter for RAM å miste dataene. En av variablene som forårsaker denne variansen er temperatur ; ved å kjøle ned RAM, bevarer den data lenger. I en spesielt fantastisk forskningspapir (PDF), har flytende nitrogen vist seg å bevare DRAM-innholdet i en hel uke. I dette spesielle tilfellet plasserte sikkerhetsforskerne imidlertid en Samsung Galaxy Nexus i en fryser i en time, til telefonens interne temperatur falt til 10C (50F). Deretter, ved raskt å ta ut og sette inn batteriet (det må gjøres på under 500 millisekunder), og gå inn i FROST, var de i stand til å lage en fullstendig dump av telefonens RAM. Uten fryseren ville telefonens RAM miste dataene før den kunne gjenopprettes.

Mens FROST er bemerkelsesverdig som det første vellykkede eksemplet på et kaldstart-angrep på Android, er FROST bare det siste innen en lang rekke med verktøy for kaldstartangrep. I en verden der full diskkryptering er normen snarere enn unntaket i kriminelle miljøer, er muligheten til å gjenopprette krypteringsnøkler fra minnet av avgjørende betydning for FBI, CIA og andre etterretningsbyråer over hele verden. Det er nå vanlig praksis for noen politistyrker å absolutt sørge for at datamaskiner ikke blir slått av under raid, før de har blitt fullstendig skannet for krypteringsnøkler og andre data som fremdeles kan være i RAM. Det er forsvar som kan brukes mot cold boot-angrep, for eksempel å ikke lagre krypteringsnøkler i RAM, men foreløpig ser det ut til at Android i det minste er fortsatt sårbart.



Copyright © Alle Rettigheter Reservert | 2007es.com