Inúmeros fornecedores anunciam muitos tipos de soluções para extrair evidências de dispositivos Android. As empresas afirmam apoiar dezenas de milhares de modelos, criando a impressão de que a maioria (se não todos) os dispositivos Android podem ser adquiridos com sucesso usando um método ou outro. Do outro lado desta moeda está a criptografia. Cada dispositivo Android certificado pelo Google lançado com Android 6.0 ou posterior deve ser totalmente criptografado quando o usuário concluir a configuração inicial. Não há opção acessível ao usuário para descriptografar o dispositivo ou ignorar a criptografia. Embora essa política do Google tenha causado inicialmente preocupações entre os usuários e os OEMs, hoje a estratégia foi paga com a maioria dos aparelhos Android já sendo criptografados. Então, como os fornecedores de software forense superam a criptografia e podem realmente extrair algo de um smartphone Android criptografado bloqueado com uma senha desconhecida? Fizemos nossa própria pesquisa. Tenha paciência conosco para descobrir! Muito obrigado a Oleg Davydov, da Oxygen Forensics, por sua ajuda e conselhos inestimáveis.

Criptografia de disco completo do Android, inicialização segura e criptografia baseada em arquivo

Antes de começarmos a discutir como os fabricantes podem ignorar a criptografia, vamos primeiro dar uma olhada nos tipos de criptografia disponíveis no Android. A partir da versão 5.0, o Android oferece proteção razoável com criptografia de disco completo (FDE). Nos dispositivos modernos com processadores de 64 bits (basicamente tudo, desde o Qualcomm Snapdragon 410 e até o recente Snapdragon 845), a criptografia de disco completo é acelerada por software com comandos dedicados do ARMv8. A chave de criptografia está protegida com o Trusted Execution Environment (TEE), uma parte dedicada da CPU que executará apenas pequenos pedaços de código assinado (trustlets). Por padrão, a chave de criptografia real usada para criptografar e descriptografar os dados baseia-se em uma combinação de uma chave de hardware exclusiva e na frase “default_password”. Embora esse esquema de proteção seja obviamente ordens de magnitude menos seguras que a criptografia de disco completo em dispositivos iOS, ele ainda fornece proteção razoável a um consumidor médio. Em outras palavras, ignorar essa criptografia pode não ser trivial. Os usuários não satisfeitos com o nível de proteção padrão podem optar por criptografar seus telefones com uma chave muito mais forte, com base na combinação de uma chave de hardware (novamente) e entrada do usuário (senha, padrão etc.) na inicialização do dispositivo. Esta opção é chamada de “Inicialização segura” e pode ser configurada durante a configuração inicial enquanto especifica a senha da tela de bloqueio. Se o usuário mudar de idéia e quiser ativar a opção “Inicialização segura” posteriormente, ele ou ela deverá primeiro remover o PIN / padrão / senha do dispositivo e reativar a proteção. O telefone solicitará ao usuário se deseja que ele solicite seu PIN / padrão / senha na inicialização. A principal diferença entre “inicialização segura” e “sem inicialização segura” está na maneira como o dispositivo produz a chave de descriptografia para acessar informações na partição de dados. Se a inicialização segura não estiver ativada, a chave de criptografia será gerada automaticamente durante a sequência de inicialização, com base na combinação de uma determinada chave dependente de hardware e a senha “default_password”; nenhuma entrada do usuário é necessária. Depois que o Android concluir o processo de inicialização, a tela ainda estará bloqueada e deverá ser desbloqueada com um PIN / padrão / senha (mas não com o Smart Lock ou qualquer sensor biométrico, pelo menos se o fabricante não estragou esta parte – o que muitos fazem ) Notavelmente, mesmo antes de o usuário desbloquear a tela, a partição de dados é montada e descriptografada; os aplicativos podem iniciar e acessar seus dados. Se, no entanto, a opção de inicialização segura estiver ativada, o telefone solicitará a senha no início do processo de inicialização. Isso acontece antes que a maioria dos serviços Android, sem falar nos aplicativos, tenha permissão para iniciar. A senha é necessária para gerar a chave de criptografia real; será usado em vez da “senha_ padrão” para esse fim. Aparentemente, não há (ou deveria haver) nenhuma maneira de ignorar essa proteção e descriptografar os dados, a menos que a senha correta seja fornecida. Embora a “inicialização segura” seja inerentemente uma maneira mais segura de proteger as informações, ela não foi amplamente adotada pelos usuários do Android devido às limitações. Se, por exemplo, o telefone for reinicializado (ou durante a noite), não será possível receber chamadas ou tocar alarmes – simplesmente porque os serviços necessários não foram iniciados e os dados ainda estão criptografados. No Android 7.0, o Google ofereceu uma alternativa à criptografia de disco completo que combina a proteção da Inicialização segura com a comodidade de não sofrer limitações. A nova criptografia baseada em arquivo (FBE) protege os dados do usuário, criptografando cada arquivo com uma chave exclusiva. Todas essas chaves são derivadas das informações armazenadas no TEE, bem como das credenciais do usuário (PIN, padrão ou senha usados ​​para desbloquear o telefone). Se a Criptografia baseada em arquivo for empregada, o telefone poderá inicializar e acessar os dados armazenados na área Criptografada de Dispositivo especial, protegida apenas com chaves de hardware (portanto, pelo menos, o dispositivo poderá receber uma ligação). A maioria das informações, no entanto, é armazenada na zona Criptografada de credenciais, que é protegida com chaves com base nas credenciais do usuário. Embora o FBE seja inerentemente mais seguro em comparação com o FDE, o uso de um ou de outro não é a escolha que o usuário final pode fazer (com a única exceção de vários dispositivos Pixel criados pelo Google). Em vez disso, é o OEM quem toma a decisão. Se o OEM decidir a favor do FDE, não haverá como o usuário mudar para a criptografia baseada em arquivo mais segura. Até agora, a criptografia baseada em arquivo mais segura foi usada em vários dispositivos, a maioria dos quais é menos conhecida ou totalmente exótica (por exemplo, OnePlus 5, 5T). A maioria das marcas A lança seus telefones configurados com a criptografia de disco completo comprovada e funcional.   Se você estiver interessado em detalhes sobre criptografia Android, podemos recomendar este excelente relatório de Ronan Loftus e Marwin Baumann, Universidade de Amsterdã: Criptografia baseada em arquivos do Android 7 e os ataques contra ela O relatório descreve os conceitos básicos da criptografia de disco completo do Android e da criptografia baseada em arquivo e descreve as diferenças entre os dois esquemas de uma maneira clara e concisa que é facilmente compreensível, mesmo para iniciantes, sem um profundo conhecimento da criptografia.

Quebrando a criptografia Android

Longe vão os dias de chips nus com dados não criptografados. Hoje, especialistas forenses quase esperam que um telefone tenha algum tipo de criptografia. Isso muda a maneira como acessamos as informações. O chip off é completamente inútil para dispositivos Apple. O método está se tornando obsoleto à medida que mais e mais smartphones Android são criptografados. Então, como alguém pode invadir um smartphone Android criptografado e extrair informações? A grande diversidade de OEMs, dispositivos e modificações de software impossibilita a criação de uma estratégia universal. Dispositivos diferentes empregam conjuntos de chips diferentes usando métodos de proteção diferentes e até tipos diferentes de criptografia. Vimos dispositivos usando uma chave de criptografia integrada, uma única chave para todos os dispositivos do mesmo modelo. Muitos dispositivos têm vulnerabilidades de baixo nível não detectáveis. Essas vulnerabilidades podem ser exploradas pelo modo EDL, permitindo que os especialistas sobrescrevam certas partições e injetem trustlets modificados que explorarão o TEE para extrair a chave de criptografia ou eliminar o atraso do GateKeeper ao forçar brutalmente a senha. Devido à grande variedade de modelos, modificações e compilações de softwares Android, não é possível realisticamente esperar uma extração positiva para um determinado dispositivo individual. No entanto, existem técnicas aplicáveis ​​a grupos de dispositivos que podem ser utilizáveis ​​para aquisições físicas.

Inicialização segura

Se o usuário optar por proteger o telefone criptografado com a Inicialização segura (o PIN / padrão / senha será necessário para inicializar o dispositivo), a maioria dos métodos de extração existentes falhará. A senha original deve ser recuperada executando um ataque de força bruta no dispositivo. O GateKeeper limitará a velocidade dos ataques, a menos que o TEE seja explorado para desativar o recurso. Até onde sabemos, atualmente não há soluções prontas para essa situação; a maioria das soluções existentes tem como alvo criptografia e senhas regulares do FDE sem proteção de inicialização segura. Em outras palavras, se você trabalha em um dispositivo Android criptografado que requer um PIN / senha / padrão para iniciar, suas chances de aquisição bem-sucedida não são muito altas, a menos que você esteja disposto a investir uma quantidade substancial de tempo nesse caso específico.

Modo de acesso Qualcomm EDL

Muitos smartphones equipados com chipsets da Qualcomm (exceto Samsung e LG) estão equipados com o chamado Modo de Download de Emergência. Esse modo geralmente é ativado ao colocar alguns pinos em curto enquanto o telefone está ligado; cabos USB especiais estão disponíveis para conseguir exatamente isso (procure por “cabo EDL” ou “cabo flash profundo” e você encontrará dezenas de modelos diferentes). Ao usar o EDL, é possível criar uma imagem de todo o chip de armazenamento do dispositivo. A extração de EDL para dispositivos não criptografados que são protegidos por uma senha desconhecida está disponível em vários fornecedores, incluindo Cellebrite, Magnet e Oxygen. Os dispositivos criptografados exigem esforços adicionais e serão abordados no próximo capítulo. Benefícios:
  • Extração relativamente fácil de dispositivos suportados
  • Mais robusto e confiável em comparação com outros métodos
  • Universalmente aplicável a dispositivos equipados com vários conjuntos de chips
  • Os dados de dispositivos não criptografados podem ser extraídos independentemente da proteção por senha
  • Suporta todas as versões do Android (sem criptografia)
Limitações:
  • Não ignora a criptografia FDE, mesmo que não haja senha
  • Não aplicável a dispositivos criptografados
  • Pode ser difícil invocar o modo EDL em um dispositivo específico

Exploração e criptografia Qualcomm EDL

E a criptografia? No modo EDL, pode-se ter acesso total e irrestrito ao armazenamento do dispositivo. No entanto, não é disso que se trata a exploração. Embora seja possível (e sempre tenha sido possível) usar o modo EDL para criar imagens de dispositivos não criptografados com chipsets da Qualcomm (semelhantes ao LG LAF), o acesso de baixo nível se torna inútil quando o dispositivo é criptografado. A exploração EDL, por outro lado, permite que o invasor modifique o conteúdo do dispositivo para que a sequência de inicialização ignore determinadas verificações de segurança, permitindo que o invasor injete trustlets modificados no TEE e extraia as chaves de criptografia, desbloqueie o gerenciador de inicialização sem limpar o dispositivo e patch do kernel para obter acesso root. As ferramentas forenses podem até executar essas operações na RAM do dispositivo sem modificar o armazenamento real, tornando todo o processo de extração e descriptografia forense. Para entender como o exploit EDL funciona, recomendamos a leitura dos seguintes artigos: Explorando os programadores da Qualcomm EDL (1): ganhando acesso e internos de PBL Explorar os programadores Qualcomm EDL (2): ataques e enraizamento baseados em armazenamento A exploração EDL se aplica a uma ampla variedade de modelos, incluindo a maioria dos smartphones equipados com os populares conjuntos de chips Qualcomm, baratos e de médio alcance, além de ter sido adicionalmente confirmada para funcionar com os seguintes modelos:
  • LG : LG G4
  • Nokia : Nokia 6, Nokia 5
  • Google Nexus : Nexus 6, Nexus 6P
  • Motorola : Moto G4 Plus
  • OnePlus : OnePlus 5, OnePlus 5T, OnePlus 3T, OnePlus 3, OnePlus 2, OnePlus X, OnePlus One
  • ZTE : ZTE Axon 7 (outras explorações específicas da ZTE estão disponíveis no modo DFU proprietário da ZTE)
  • Lenovo : ZUK Z1, ZUK Z2
  • Xiaomi : Xiaomi Nota 5A, Xiaomi Nota 5 Prime, Xiaomi Nota 4, Xiaomi Nota 3, Xiaomi Nota 2, Xiaomi Mix, Xiaomi Mix 2, Xiaomi Mi 6, Xiaomi Mi 5s, Xiaomi Mi 5s Plus, Xiaomi Mi 5x, Xiaomi Mi 5 Xiaomi Mi 3, Xiaomi Mi A1, Xiaomi Mi Max2, Xiaomi Redmi Note 3, Xiaomi Redmi 5A, Xiaomi Redmi 4A
Fazer uso dessa exploração não é rápido nem fácil. Existem muito poucas soluções prontas e não pode haver um método “genérico” para explorar essa vulnerabilidade em diferentes modelos de dispositivos – pelo menos devido às diferenças nos desvios e no código ABOOT que é específico do dispositivo. Atualmente, o exploit EDL foi desenvolvido com sucesso apenas para alguns dispositivos. Para adicionar suporte a um aparelho Android criptografado aleatório com um chipset Qualcomm vulnerável, é necessário desenvolver um código de inicialização personalizado. Embora isso seja tecnicamente possível (e mais fácil do que desbloquear o proverbial iPhone 5c), o processo ainda será um esforço demorado e trabalhoso. Benefícios:
  • Um dos poucos métodos para trabalhar com dispositivos criptografados
  • Pode ignorar a criptografia FDE, mesmo com uma senha desconhecida (sem inicialização segura)
  • Aplicável a muitos dispositivos equipados com chipsets vulneráveis ​​da Qualcomm
  • Pode ser usado para enumerar uma senha desconhecida, ignorando os atrasos no GateKeeper
Limitações:
  • Até o momento, existem soluções prontas apenas para alguns dispositivos selecionados (a maioria é incomum)
  • Não há soluções universais prontas (até hoje)
  • Extremamente difícil de implementar
  • Adicionar suporte para um determinado dispositivo pode ser caro e demorado (ainda provavelmente inferior a um milhão de dólares pagos pelo desbloqueio do infame iPhone 5c)
  • Não é possível ignorar a criptografia FBE se a senha desconhecida estiver definida
  • Não é possível ignorar a criptografia FDE se a Inicialização segura e a senha desconhecida estiverem ativadas

Descriptografando Bootloaders

Extrair e descriptografar o dispositivo através de um gerenciador de inicialização personalizado sem permitir que o telefone inicialize totalmente no sistema operacional Android é provavelmente o método mais forense para gerar imagens em smartphones Android. Fornecedores forenses como Cellerbrite, Oxygen e Magnet desenvolvem suas próprias versões personalizadas de gerenciadores de inicialização para as várias plataformas. Normalmente, as medidas de segurança do Android impediriam o dispositivo de inicializar código não assinado. Esse mecanismo de proteção é explicado em detalhes no modo EDL da Exploit Targets da Qualcomm, afeta alguns Xiaomi, OnePlus, Nokia e outros dispositivos . No entanto, ao visar vulnerabilidades nos aparelhos de vários fabricantes (por exemplo, exploração da Qualcomm EDL, imagem de inicialização de engenharia da Samsung etc.), é possível desenvolver um método que permita ignorar as verificações de código de acesso em dispositivos sem inicialização segura e executar um ataque contra o código de acesso. se a Inicialização segura estiver ativada. Ainda é preciso descriptografar o smartphone, mesmo que os dados sejam criptografados com “default_password”. Depende muito da implementação de criptografia de um fornecedor específico. Como exemplo, alguns fornecedores não criptografarão novamente a KEK (Chave de Criptografia de Chave) quando o usuário alterar sua senha; isso, por sua vez, permite descriptografar os dados, independentemente da senha atual, simplesmente usando “default_password”. A mesma situação ocorre se, no momento da configuração inicial, o fornecedor optar por começar a criptografar o telefone antes que o usuário defina a senha. De acordo com a Oxygen, é exatamente isso que acontece nos smartphones da Motorola, que podem ser extraídos e descriptografados independentemente da senha da tela de bloqueio – mas apenas se a Inicialização segura não estiver ativada. Para smartphones sem Inicialização Segura que criptografam a partição de dados antes que o usuário especifique a senha, a partição de dados é montada e descriptografada no final do processo de inicialização e antes de o usuário desbloquear o dispositivo com uma senha ou padrão. Existem métodos que podem convencer o TEE a descriptografar o conteúdo do dispositivo sem inicializar no sistema. Um desses métodos envolve desabilitar o dm-verity e inicializar em uma imagem de inicialização personalizada por meio de uma exploração EDL. Nesse caso, a imagem de inicialização personalizada pode montar e descriptografar a partição criptografada e acessar os dados. A descriptografia de carregadores de inicialização é amplamente usada no Cellerbrite UFED para uma variedade de aparelhos, incluindo modelos selecionados fabricados pela Huawei, Motorola, Xiaomi, Acer, Lenovo, ZTE, Alcatel etc. O Oxygen usa extração no nível do carregador de inicialização para muitos modelos da Motorola e Samsung, incluindo suporte para offline recuperação de senha para dispositivos Galaxy S5 / S6 / Note4.

Modo de download de emergência da Samsung

A Samsung não usa o modo Qualcomm EDL mesmo em seus aparelhos equipados com Qualcomm (como os modelos Galaxy Sx vendidos nos Estados Unidos). Em vez disso, a Samsung implementou seu próprio protocolo de programação proprietário chamado Odin. O Odin pode ser usado para ler o conteúdo (criptografado) do dispositivo. Também pode ser usado para gravar dados no dispositivo. Para muitos modelos da Samsung, pode-se usar uma das imagens de inicialização de engenharia vazadas da Samsung ou um de seus serviços (um carregador de inicialização de engenharia vazou da Apple para alguém?) Essas imagens de inicialização de engenharia são desenvolvidas e assinadas pela própria Samsung; eles permitem acesso total e irrestrito ao armazenamento do dispositivo. Sendo assinadas pela Samsung, essas imagens de inicialização são verificadas e confiáveis ​​pelo TEE. Como resultado, para dispositivos criptografados com o FDE sem inicialização segura, pode-se inicializar diretamente no sistema, ignorando completamente a proteção por senha. Há outras coisas que se pode fazer com essas imagens de inicialização de engenharia, como criar (e inicializar) um kernel personalizado projetado especificamente para extrair e descriptografar dados (mais informações em nosso blog: iOS vs. Android: extração de dados físicos e proteção de dados comparados ). Outros métodos de extração estão disponíveis para smartphones Samsung selecionados que podem lidar com criptografia. Benefícios:
  • Existem soluções prontas (Celebrite UFED)
  • Ignora a criptografia de disco completo sem inicialização segura (a imagem de inicialização é assinada pela Samsung, confiável pela TEE)
  • Possível atacar a senha se a Inicialização Segura estiver ativada
Limitações:
  • A mudança para o modo de programação de emergência pode exigir um cabo especial
  • Às vezes, o dispositivo deve ser desmontado e os pontos de teste em curto para mudar para o modo de programação de emergência
  • A localização exata dos pontos de teste nem sempre é conhecida

ZTE Smartphones

A ZTE é um grande fabricante chinês que luta para vender em volumes no mercado ocidental, mas muito popular no mercado doméstico. Nossa experiência com os smartphones ZTE é limitada ao ZTE Axon 7, o principal dispositivo da empresa em 2016 com o Snapdragon 820 e lançado com o Android 6 a bordo. De um modo geral, os fabricantes chineses não se preocupam com a segurança, até o ponto de remover completamente a capacidade de criptografar dados em smartphones vendidos na China. Apesar de ter conseguido a certificação do Google, o Axon 7 permitiu uma autenticação de impressão digital positiva imediatamente após ser ligado. Muitos smartphones ZTE, especialmente os mais antigos equipados com chipsets Qualcomm 8916 (Snapdragon 410), têm vulnerabilidades que permitem gerar imagens dos dados por meio do modo DFU proprietário da ZTE. Esse modo, em particular, é usado pelo Cellebrite UFED para criar dispositivos compatíveis com imagens.

LG Smartphones

Em vez de empregar o modo Qualcomm EDL defeituoso, a LG optou por usar seu próprio protocolo de atualização de firmware de baixo nível, o LG Download Mode (LAF). O protocolo LAF pode ser usado para carregar informações no dispositivo. No entanto, o mesmo protocolo pode ser explorado para baixar informações de um smartphone LG, independentemente do chipset. O extrator forense do Oxygen suporta a aquisição da LAF se alguém selecionar um smartphone LG durante a aquisição. No entanto, esse modo de acesso de baixo nível retornará apenas uma imagem binária do chip de armazenamento do dispositivo. A criptografia de disco completo impede efetivamente a aquisição. No momento, não há explorações conhecidas que permitam interromper a criptografia. Em resumo, a aquisição do modo LAF tem os seguintes benefícios e limitações. Benefícios:
  • Fácil extração de dispositivos LG não criptografados
  • Mais robusto e confiável em comparação com outros métodos
  • Universalmente aplicável a muitos modelos LG, independentemente do chipset (Qualcomm ou MTK)
  • Os dados de dispositivos não criptografados podem ser extraídos independentemente da proteção por senha
  • Suporta todas as versões do Android (sem criptografia)
Limitações:
  • Não ignora a criptografia FDE, mesmo que não haja senha
  • Não aplicável a dispositivos criptografados

Motorola Smartphones

A Oxygen desenvolveu uma técnica baseada nas explorações de CVE no nível do carregador de inicialização, permitindo que os especialistas que usam o Oxygen Forensic Suite ignorem com êxito a proteção em alguns smartphones Motorola fabricados entre 2015 e 2017. Isso inclui modelos como o Moto X, muitas variantes do Moto G, incluindo o G5, Moto Z e Moto Z Play, entre muitos outros. A exploração é invocada automaticamente quando o especialista conecta um smartphone Motorola compatível no modo “inicialização rápida” ao PC e escolhe a opção “Motorola” no Extrator Forense do Oxygen (parte do Forensic Suite). Benefícios:
  • Esse método pode extrair facilmente dados de dispositivos Motorola não criptografados
  • Independente do chipset (funciona no modo de inicialização rápida)
  • Os dados de dispositivos criptografados podem ser extraídos se nenhuma senha for definida ou a senha for conhecida (nesse caso, deve ser especificada durante a extração)
  • Suporta Android 7.0
Limitações:
  • Número limitado de modelos
  • Compatibilidade que não é um dado, mesmo para dispositivos suportados (por exemplo, a variante Mundial do Moto G  pode ser suportada, enquanto a variante Verizon do mesmo modelo pode não ser)
  • Não suporta todas as versões de software, mesmo se houver vulnerabilidade (devido a diferentes compensações)
  • Limitado a dispositivos com nível de patch de segurança anterior a maio de 2017

Alternativas à aquisição física

Tempos drásticos exigem medidas drásticas. Criptografia de disco completo, criptografia baseada em arquivo, inicialização segura e cadeia de inicialização segura corretamente implementada podem impossibilitar a aquisição física, mesmo que um dispositivo esteja executando uma versão antiga do Android – como o Android 6.0. Mas e se alguém pudesse passar pela tela de bloqueio? As muitas boas medidas de segurança no Android geralmente são negligenciadas pelo usuário ou combatidas pelo uso de alguns recursos menos seguros. O Android Smart Lock é um dos recursos que podem ter um efeito drástico na segurança geral do dispositivo. Se você conseguir passar pela tela de bloqueio, poderá tentar a aquisição lógica produzindo um backup local. Comparado ao iOS, os backups locais do Android são … complicados. A partir do Android 5.0, os backups produzidos com o “backup adb” contêm muito menos dados do que antes. Muito menos que eles se tornaram praticamente inúteis para a finalidade a que se destinam, a saber – fazer backup e restaurar o conteúdo do dispositivo. Se o backup do ADB é seu último recurso, ainda é melhor que nada; muito melhor do que nada se você levar em conta o conteúdo da montagem “sdcard” que pode ser facilmente acessada via MTP. No entanto, muitos OEMs do Android oferecem suas próprias soluções para fazer backup e restaurar dispositivos. Tome Xiaomi. Se o dispositivo adquirido não for um dos modelos recentes de smartphones certificados pelo Google, o backup local realizado com a ferramenta interna MIUI diretamente no telefone conterá praticamente tudo o que está no telefone. Isso inclui dados de aplicativos em área restrita – mesmo para aplicativos cujos desenvolvedores explicitamente não permitiram backups. Os dispositivos certificados pelo Google (como o Xiaomi Mi Mix 2) parecem respeitar esta configuração de desenvolvedor e não conseguem fazer backup de aplicativos que não podem fazer backup. LG, Samsung, ASUS e Sony têm suas próprias soluções de backup. Às vezes, essas soluções estão disponíveis apenas para determinados dispositivos ou certas versões do Android. Alguns fabricantes (por exemplo, Samsung) têm até utilitários diferentes para fazer backup dos diferentes modelos. Se você conseguir usar uma dessas ferramentas, terá acesso a muito mais dados em comparação com o backup do ADB. (Curiosamente, alguns fabricantes que oferecem ferramentas de backup domésticas impõem limitações ainda mais rígidas ao que está incluído nos backups do ADB). Finalmente, e se nenhum acesso físico for possível ao dispositivo? Se esse for o caso, você ainda poderá realizar a aquisição na nuvem obtendo os dados diretamente da Conta do Google do usuário. As quantidades de dados que o Google coleta sobre o usuário e as lojas em seus servidores são realmente chocantes. De fato, você pode obter significativamente mais informações da Conta do Google do usuário em comparação com qualquer outro método de aquisição, mesmo que possa fazer um despejo do sistema de arquivos.

Conclusão

Embora os fornecedores de software forense possam reivindicar suporte para dezenas de milhares de modelos, a probabilidade real de extrair com êxito um smartphone Android aleatório é baixa por causa da criptografia. Embora existam explorações que permitem que os especialistas superem a criptografia em determinados modelos de dispositivos, esses métodos estão longe de ser universais e geralmente só funcionam em smartphones com FDE sem inicialização segura. Qualquer outra configuração exigiria o ataque da senha no próprio dispositivo, e isso pode ser problemático ou impossível, mesmo que o dispositivo esteja na lista de modelos suportados. Os dispositivos Android criptografados são seguros ou não? Comparado a um iPhone recente (como o iPhone 7, 8 e X), um smartphone Android médio seria inerentemente menos seguro. Para muitos smartphones Android, é possível desenvolver uma exploração com base em uma ou outra vulnerabilidade não detectável. É verdade que o código pode não existir, mas pode ser desenvolvido: a direção é clara e todas as ferramentas corretas estão lá. Por outro lado, a criação de imagens em um dispositivo iOS sempre exige a quebra da senha primeiro, o que pode ser feito por uma das duas empresas (Cellebrite e GrayShift) e está sujeito a vários “ses” e “mas”.   Artigo traduzido e adaptado de: https://blog.elcomsoft.com/2018/05/demystifying-android-physical-acquisition/