O problema que tem atormentado os investigadores é o fato de os dispositivos Android oferecerem diferentes mecanismos de proteção de dados. Por esse motivo, é quase impossível desenvolver um método único de extrair e descriptografar os dados de um dispositivo. Obviamente, em muitos casos, a extração de dados é possível, mas geralmente os dados ainda são criptografados. Tem havido muita discussão sobre a EDL, tanto de fabricantes de software forense quanto de investigadores. Vamos dar uma olhada no que é o EDL e como ele pode ser usado no forense móvel.

O que é EDL?

Os fabricantes de celulares SoC (System on Chip) geralmente fornecem modos especiais projetados para depuração, diagnóstico ou recuperação. Nesse caso, os dispositivos baseados na Qualcomm têm um modo EDL (modo de download de emergência). Nesta interface de teste integrada, é possível obter acesso às funções de leitura e gravação de memória de baixo nível. Esse acesso se aplica tanto à ROM quanto à RAM .

A conexão do dispositivo a um conector USB é suficiente para iniciar a extração?

Para colocar um dispositivo no modo EDL, não existe uma abordagem única; geralmente está em todo lugar. Com várias maneiras de alternar o dispositivo para o modo de download de emergência (EDL), o investigador geralmente é relegado a digitalizar as páginas da Internet devido aos vários métodos, geralmente diferentes para cada dispositivo. Existem abordagens de software e de hardware. 

Abordagens de software:

  • ADB (Android Debug Bridge). Se o dispositivo estiver desbloqueado e o modo adb estiver ativado, você poderá emitir o comando “adb reboot edl” em uma linha de comando.
  • Mude o dispositivo para o modo de inicialização rápida, mantendo Power e Vol- ao mesmo tempo (a combinação de teclas pode ser diferente para cada dispositivo) e execute o comando “fastboot oem edl”. 

Método de combinação de teclas (a combinação depende do modelo do dispositivo). Você precisa desligar o dispositivo, conectar o cabo USB ao PC, mas não o dispositivo. Pressione e segure Vol- e Vol + ao mesmo tempo e, enquanto os segura, conecte a outra extremidade do cabo USB ao dispositivo. Mantenha as teclas pressionadas por 3-5 segundos, o dispositivo deve entrar no modo EDL. Além disso, manter pressionado o botão “#” e conectar o dispositivo via USB é suficiente para mudar muitos telefones de botão Qualcomm para o modo EDL. Este método funciona em muitos dispositivos KaiOS Qualcomm, incluindo o Jio Phone 1.

Abordagens de hardware:

  • Cabo EDL. Cabos especializados podem ser usados ​​para mudar o dispositivo para o modo EDL. Esses cabos estão disponíveis on-line ou, se você tiver um kit de cabos forenses do Oxygen, eles serão incluídos. 
  • Curto-circuito dos pinos. Esse método, também conhecido como “curto-circuito”, requer experiência técnica e, geralmente, desmontagem do telefone. Para alternar o telefone para EDL, pinças metálicas para reparo de telefones celulares ou um pedaço de fio são frequentemente usadas para fazer curto/conectar os pontos de teste. Isso não é recomendado, a menos que o investigador tenha experiência em montagem/desmontagem de componentes elétricos. 

É possível encontrar conselhos sobre como reduzir os pontos de teste na Internet. Para fazer isso, digite o seguinte no campo de pesquisa:

<nome do dispositivo>, pontos de teste, ponto de teste, 9008, EDL. 

A extração será iniciada imediatamente após colocar o dispositivo no modo EDL?

Depois de colocar o dispositivo no modo EDL, um programador especial deve ser carregado no dispositivo. Somente após o upload na RAM do dispositivo, será possível começar a extrair dados usando o protocolo Firehose.

A maioria dos dispositivos baseados na Qualcomm verifica a assinatura eletrônica do programador. É por isso que um arquivo para outro dispositivo, mesmo que seja baseado no mesmo processador, normalmente será de pouca utilidade. O que nós sabemos; os próprios fabricantes não estão muito ansiosos para compartilhar esses arquivos com os fornecedores de software. Com os perfis mais atualizados do Oxygen Forensic® Detective, agora temos 500 arquivos para diferentes dispositivos da Qualcomm.

Se eu encontrasse um programador para o modelo X, seria útil?

A boa notícia é que os programadores dependem apenas do modelo do dispositivo e, se esse arquivo for encontrado, os investigadores poderão usá-lo em qualquer software que ofereça suporte à extração via modo EDL. Essa é uma das razões pelas quais o Oxygen Forensic Detective permite que um investigador carregue qualquer arquivo de programador usando o Oxygen Forensic® Detective.

Isso significa que todo software forense oferece a mesma solução e a única diferença entre eles está no conjunto desses programadores?

Na maioria dos casos, quando o fabricante do software afirma apoiar a extração de EDL, isso significa que o software pode carregar o programador correspondente no dispositivo e usá-lo para extrair despejo físico e não necessariamente suportar a capacidade exclusiva de adicionar um programador não fornecido com o software pacote.

E se não houver programador disponível?

Alguns SoCs da Qualcomm têm uma vulnerabilidade crítica no PBL (Carregador de inicialização primário) que permite que um programador não assinado seja carregado no dispositivo. O Oxygen Forensic® Detective usa uma exploração especialmente projetada, baseada nesta vulnerabilidade. Nosso software oferece a capacidade de carregar nos dispositivos com os chipsets MSM8909, MSM8916, MSM8939 e MSM8952 um programador genérico correspondente e iniciar a extração.

É possível uma exploração única para extração de EDL?

A maioria das soluções, reivindicando suporte ou simplesmente a possibilidade, depende da vulnerabilidade acima mencionada. Isso é evidenciado pela lista de processadores para os quais o modo EDL é suportado, independentemente da presença do programador.

E se o telefone estiver criptografado?

A memória dos dispositivos mais modernos é criptografada e um despejo criptografado geralmente é inútil por si só.

A partir do Android 7.0, a memória do dispositivo é criptografada por padrão, usando uma chave de hardware, quando o SoC permite. A Qualcomm foi uma das primeiras a incluir criptografia de chave de hardware em seus SoCs e, desde 2014, todos os SoCs da Qualcomm para dispositivos Android são compatíveis. Em alguns dispositivos que não passaram na certificação do Google, um esquema de criptografia desatualizado sem uma chave de hardware pode ser usado, mas esses são principalmente dispositivos não-nomeados de fabricantes chineses. Assim, a grande maioria dos dispositivos modernos da Qualcomm é criptografada usando uma chave de hardware. Para descriptografar os dados, são necessárias uma chave de hardware e uma senha na tela de bloqueio do dispositivo (se houver alguma).

Atualmente, duas abordagens fundamentalmente diferentes são usadas para descriptografar dados desses dispositivos. No entanto, ambas as abordagens são baseadas na mesma vulnerabilidade que ignora as verificações de integridade ao inicializar dispositivos baseados na Qualcomm. A primeira opção envolve a modificação do gerenciador de inicialização (função que carrega o sistema operacional Android), para que o dispositivo ligue aparentemente normal, mas com a capacidade de comunicação extra (por exemplo, com privilégios de root, adb on). Como o sistema está totalmente carregado, a partição do usuário é montada no formato descriptografado como dm-0. Nesse caso, a descriptografia é realizada automaticamente pelo próprio sistema operacional. Essa é uma abordagem universal, mas não funciona se o modo ‘Inicialização segura’ estiver ativado. Se este modo estiver ativado, é necessário inserir a senha da tela de bloqueio para inicializar o sistema. Se for desconhecido, não haverá passagem pela tela bloqueada e o sistema não será carregado. Se os arquivos não carregarem, os arquivos não serão descriptografados e transferidos.

Vale ressaltar que a abordagem inicial abordada ainda funciona se o dispositivo estiver protegido por senha, mas o modo de inicialização segura estiver desativado. O motivo é que, se a Inicialização segura estiver desativada, a frase ‘default_password’ será usada como senha padrão, permitindo que o sistema inicialize e monte completamente o dm-0 antes que a senha do usuário seja inserida. Se a Inicialização segura estiver ativada, a senha criada pelo usuário será usada para criptografia e o sistema não inicializará, a menos que tenha sido inserido. A inicialização segura do Utlizing ainda permanece a critério do usuário e alguns fabricantes, por algum motivo, o ocultam nas configurações e complicam o procedimento de ativá-lo de várias maneiras.

Como o Oxygen Forensic® Detective funciona com criptografia?

A abordagem única, adotada por nossa empresa, é um pouco mais complicada e é baseada em uma modificação do TrustZone. Sabemos que a chave de hardware é frequentemente usada para criptografar dados do usuário e é armazenada no TrustZone. Nossa abordagem explora a vulnerabilidade de inicializar o dispositivo com um TrustZone modificado. Ao fazer isso, somos capazes de executar nosso código no TrustZone e extrair a chave de hardware. Em seguida, se a opção Inicialização segura estiver desabilitada, descriptografamos imediatamente o despejo usando a senha padrão. Se o modo Inicialização segura estiver ativado, é possível forçar a senha com força bruta offline (envolvendo energia de computação externa), pois a chave de hardware já foi extraída.

Nota: nos chips Qualcomm, o TrustZone contém um erro na implementação da criptografia, às vezes permitindo descriptografar o despejo sem saber a senha, mas com uma chave de hardware. A vulnerabilidade funciona em 2 a 4% dos casos. Portanto, o despejo com o modo Inicialização segura ativado ainda pode ser descriptografado sem o conhecimento da senha.

Isso significa que o suporte a extrações EDL de dispositivos MSM8937 em várias soluções forenses pode diferir?

Algumas soluções extraem apenas dumps físicos criptografados, o que é completamente inútil. Alguns podem extrair dados apenas daqueles modelos de dispositivos em que um programador foi encontrado e outros podem descriptografar os dados apenas se a Inicialização segura estiver desativada.

Veja o que o Oxygen Forensic Detective pode fazer por suas investigações sobre dispositivos usando o modo EDL.

Traduzido de: https://blog.oxygen-forensic.com/its-as-easy-as-edl/

Aprenda mais no curso CFID

Gostou do artigo? Conheça o curso Computação Forense e Investigação Digital.

Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado.

Hospedagem de site

digitalocean, excelente custo benefício.

Clique abaixo e aproveite!