Нестандартные способы извлечения данных из Android-устройств
В рекламных материалах различных программных решений для извлечения данных из смартфонов часто можно встретить абсолютно новые устройства, получение информации из которых не является неразрешимой задачей. Но в руки к экспертам нередко попадают смартфоны, данные из которых не извлечешь при помощи пары нажатий на компьютере.
В таком случае исследователю предстоит длительная и кропотливая работа. Помимо специальных технических навыков, ему может потребоваться специальное оборудование для монтажа и демонтажа микросхем и иных комплектующих изделий, а самое главное — знание, как решать ту или иную задачу, ведь для извлечения данных нужно четко знать алгоритм действий, чтобы не уничтожить устройство.
Ниже мы рассмотрим типичные случаи, с которыми чаще всего сталкиваются специалисты в рамках работы «Лаборатории МКО Системы», без затрагивания метода Chip-Off.
Извлечение данных из смартфонов Huawei на чипсетах Kirin никогда не было легкой задачей. Основной сложностью данного метода всегда являлась необходимость разобрать устройство, замкнуть контактные точки и подключить его к компьютеру в режиме COM-порта. Если под рукой у эксперта есть все инструменты и при использовании ПО он обнаружил контактные точки к попавшей к нему модели устройства, все равно может возникнуть нюанс: для некоторых устройств с обновлением позже июля 2021 года необходимо и замыкание контактных точек, и использование для подключения специального кабеля Harmony TP.
Данный кабель поддерживает устройства на чипсетах Kirin 710/710A/710F, 810, 820, 980, 985, 990 и 990 5G. Его доставка из Китая может занять много времени, но также его можно изготовить самостоятельно. Для этого потребуется разрезать USB Type C и прикрутить или припаять резисторы к проводам особым образом.
Например, к специалисту попал телефон YAL21-L, который заблокирован неизвестным паролем. Смартфон поддерживается в программе «Мобильный Криминалист», но не подключается в стандартном режиме через замыкание контактных точек. А при попытке подключения его через модифицированный кабель данные успешно извлекаются и расшифровываются.
Huawei пытались закрыть эту уязвимость, но так как она находится в BootROM, такая возможность маловероятна. Тем не менее, они смогли внести правки в часть прошивки, отвечающую за инициализацию USB, и при подключении старым способом уровни сигнала на USB перестали соответствовать нормальным — что, по их предположению, должно было препятствовать эксплуатации уязвимости.
Суть использования кабеля заключается в том, что он корректирует уровень сигнала USB до нормального значения. Huawei устранили программную инициализацию USB, а кабель делает это на аппаратном уровне.
Помимо трюка с USB, существует ряд иных нюансов по работе с Huawei-устройствами. Этот производитель задействовал дополнительный криптографический чип, который препятствует подбору пароля. Поэтому для Huawei с новым типом шифрования «Мобильный Криминалист» в состоянии извлечь и расшифровать данные только с тех устройств, на которых не задан пароль. Как оказалось, отдельный криптографический чип Huawei реализовали в своих устройствах более 5 лет назад, но почему-то его не использовали. Свежая схема схожа с той, что сейчас используется в iPhone.
Тем не менее, иногда встречаются и обратные ситуации, когда на прошивках 2023 года не нужен кабель и/или используется старая схема шифрования, для которой программа умеет подбирать пароль — у Huawei сложная система обновлений, и чтобы сказать наверняка, будет ли работать подбор пароля, необходимо попробовать провести извлечение.
В продолжение темы контактных точек
Для успешной расшифровки данных устройства с чипсетом MediaTek необходимо знать используемый алгоритм шифрования. Одна часть алгоритма шифрования является постоянной и одинакова для всех Android-устройств. А другая его часть переменная — реализована в TEE и варьируется в зависимости от используемой в устройстве версии TEE OS.
Вот несколько примеров TEE и производителей, у которых они встречаются:
- Microtrust — Xiaomi, General Mobile
- Kinibi — Oppo, Vivo, Realme, Motorola
- TEEGRIS — Samsung
- iTrustee — Huawei, Honor
- Trusty — Tecno, Nokia
- T6 — DEXP, BQ
По сути они все выполняют одну и туже функцию, но немного по-разному: иначе формируются ключи шифрования и из разных аппаратных секретов.
Тем не менее, всегда стоит попытаться извлечь из MTK-гаджета аппаратные ключи, даже если связка пока не поддерживается для расшифровывания «Мобильным Криминалистом». Это позволит уже сейчас снять образ и ключи, а потом в свежей версии «МК» импортировать старый образ, который ранее не расшифровывался.
И все же извлечение данных из MTK-устройств — это не всегда однокнопочное решение с переподключением или перезагрузкой устройства. Для извлечения данных из Samsung на MediaTek снова понадобятся контактные точки. Если в случае с Huawei они обычно находятся прямо под задней крышкой исследуемого устройства, то в Samsung на MediaTek они могут располагаться на обратной стороне платы. Алгоритмы подключений схожи, ведь, чтобы извлечь данные из исследуемого устройства, также потребуется подключить его к компьютеру в режиме COM-порта.
Замыкание контактных точек встречается и на устройствах Motorola с чипсетами MediaTek. Чтобы добраться до них, может понадобиться откусить или отпилить часть пластика.
Еще одна альтернатива — замыкание точек на самом процессоре, но к этому методу стоит прибегнуть, только если контактные точки отсутствуют. В таком случае следует проверить спецификацию процессора и найти ту, которую необходимо замкнуть. Воспользоваться этим методом стоит, только если эксперт на 100% уверен в том, что делает, и других вариантов больше нет.
Как и Kirin для Huawei, Exynos для Samsung являются эксклюзивными процессорами. Даже при извлечении данных «Мобильным Криминалистом» из устройств Android на версиях 9-11 задействуется целый ряд уязвимостей:
— уязвимости и недостатки протокола ODIN, позволяющие изменять параметры командной строки запуска ядра, чтобы загружать образ из RAM и затем загружать в RAM специально подготовленный образ;
— бреши в системах защиты от Samsung и Android, предоставляющие программе возможность получения повышенных привилегий, достаточных для чтения данных, а также подбора пароля на устройстве.
Если данные из устройства все равно не получается извлечь, несмотря на то, что его модель и версия Android поддерживаются в программе, причина может заключаться в патче безопасности. Если он новее марта 2022 года, то шансы на успешное подключение и извлечение информации стремительно тают.
Что можно сделать в таком случае?
Иногда есть возможность временно понизить версию операционной системы. В «Мобильном Криминалисте» такой метод не реализован из-за больших рисков. При неосторожной работе с ним можно стереть все данные с исследуемого устройства.
Подход основан на использовании протокола ODIN. Существует одноименная утилита ODIN, которая позволяет обновлять прошивку устройства. Откат возможен только в рамках текущей версии загрузчика. Если версия загрузчика выше, то данный подход не применим. Важно отметить, что для использования метода не требуется разблокировка загрузчика.
Зазор по откату варьируется от устройства к устройству и обычно составляет от нескольких месяцев до полугода — иногда этого достаточно, чтобы понизить версию ПО устройства до уязвимой. Существует множество нюансов, чтобы при откате не утратить данные, особенно когда он затрагивает версию Android, поэтому лучше доверить это специалистам.
Что делать, если устройство не поддерживается программой?
Можно воспользоваться решением «Мобильного Криминалиста» под названием «Android-Агент», но в таком случае случае получится извлечь только часть данных. Однако иногда, хоть и редко, но встречается ситуация, когда на устройстве уже разблокирован загрузчик. В этом случае возможно получить временный root-доступ к устройству посредством запуска модифицированного образа и, как следствие, возможность извлечь полную файловую систему.
Самый простой способ получить модифицированный образ с root — воспользоваться утилитой Magisk. Для этого потребуется оригинальный boot.img. Обычно, зная версию ПО, найти его не сложно. Затем следует отправить его в Magisk, и на выходе будет получен модифицированный загрузочный образ c root-правами.
Далее необходимо перевести устройство в режим fastboot и посредством команды fastboot boot запустить модифицированный образ. После этого «Мобильный Криминалист» успешно идентифицирует устройство и извлечет полную файловую систему при условии уже разблокированного загрузчика.
Данный способ реализуем только в рамках работы Лаборатории «МКО Системы», так как для каждого устройства требуется свой модифицированный загрузчик и в целом подход требует аккуратного исполнения, чтобы не потерять данные. Иногда встречаются методы разблокировки загрузчика без потери пользовательских данных, но, как правило, для устройств, к которым применимы подобные техники, в «Мобильном Криминалисте» предусмотрены более эффективные методы извлечения: Qualcomm EDL, MTK Android, Unisoc Android.
Следует помнить, что иногда для успешного извлечения данных достаточно элементарных действий. Прежде чем переходить к радикальным методам, попробуйте почистить USB-порт или заменить кабель.
Перечисленные методы — не панацея, и если устройство расплавили в микроволновке, они не помогут. Экспертам в повседневной работе часто приходится сталкиваться с самыми разными и необычными случаями повреждения мобильных устройств. К сожалению, не всегда из них возможно извлечь необходимую для расследования информацию. Однако это дает производителям программных продуктов в данной области пространство для исследований и создания новых, инновационных решений.