Изначально трекеры представляли собой примитивные шагомеры, но со временем эволюционировали в многофункциональные устройства. Эти гаджеты были преобразованы для отслеживания широкого спектра физиологических показателей, от сердечного ритма до качества сна. Их способность собирать и анализировать данные о движении и физическом состоянии сделала их идеальными инструментами для мониторинга здоровья.

Первые шаги в криминалистике

В криминалистике фитнес-трекеры стали использоваться сравнительно недавно. Их привлекательность заключается в способности собирать данные, которые могут быть использованы в качестве доказательств. Например, записи активности или пульса могут подтвердить или опровергнуть алиби подозреваемых, а также помочь определить точное время преступления.

Трекеры оснащены множеством сенсоров, которые делают их незаменимыми в современной криминалистике. Акселерометры отслеживают движение, гироскопы определяют положение устройства в пространстве, а оптические датчики измеряют пульс пользователя. Эти устройства также могут включать датчики высоты, температуры и влажности, что расширяет спектр собираемой информации. Дополнительные функции, такие как мониторинг сна и уровня стресса, обеспечивают еще более полную картину физического состояния владельца в любой момент времени.

Точность данных, собранных фитнес-трекерами, имеет решающее значение в криминалистике. Хотя эти устройства в основном достаточно точны в измерении шагов и базовых показателей активности, важно учитывать потенциальные ошибки. Например, показатели сердечного ритма могут быть искажены из-за неправильного ношения устройства или внешних факторов, таких как экстремальная температура.

Примеры использования в расследованиях

Различные расследования уже продемонстрировали эффективность трекеров как средства сбора доказательств. Например, в одном из дел данные о физической активности помогли установить, что подозреваемый находился в движении во время совершения преступления, что противоречило его утверждениям о том, что он спал.

Фитнес-трекеры превратились в ключевых игроков в ряде криминальных расследований по всему миру. Они предоставляют важные улики: от данных, подтверждающих местоположение, до непрямых свидетельств физической активности.

Случаи в России и в мире

В Санкт-Петербурге в 2021 году данные с фитнес-браслета жертвы стали ключевыми в установлении времени смерти, так как было обнаружено резкое прекращение активности в момент предполагаемого убийства. А в Москве в 2022 году фитнес-трекер пропавшего человека обеспечил правоохранительные органы данными о его последних шагах, что значительно сузило зону поиска.

В 2015 году в штате Коннектикут, США, высокие показатели активности и сердцебиения жертвы домашнего насилия, зафиксированные трекером, указали на момент нападения. В Калифорнии в 2018 году анализ данных с трекера опроверг алиби подозреваемого, показав его нахождение рядом с местом убийства. Тогда как в Великобритании в 2021 году ускорение сердцебиения жертвы, зафиксированное ее Apple Watch во время нападения, стало ключевым элементом обвинения.

«Мобильный Криминалист»: анализ облачных данных из фитнес-приложений

Большинство современных фитнес-трекеров синхронизируют информацию с облачными сервисами, что обеспечивает сохранность данных даже в случае потери или повреждения физического устройства. Такой подход делает облачные данные неоценимым ресурсом для следователей, в особенности в ситуациях, когда физические носители информации недоступны.

Для анализа данных, собранных с трекеров и хранящихся в облаке, следователи применяют специализированное программное обеспечение, позволяющее не только извлекать и собирать информацию, но и всесторонне анализировать ее. «Мобильный Криминалист», например, способен обрабатывать большие объемы данных, включая информацию о пройденных шагах, сердечном ритме, паттернах сна и координатах мест активности пользователя. Такая информация может стать ключевой для восстановления хода событий, происходивших в определенные моменты времени, или для подтверждения или опровержения алиби подозреваемых.

Прогноз на будущее

С улучшением технологий носимых устройств трекеры становятся все более продвинутыми. Предполагается, что будущие поколения трекеров смогут предоставлять еще более детальные данные о поведении и физическом состоянии своих владельцев.

Становится очевидным, что сегодня фитнес-трекеры выступают не только в роли наставников по здоровому образу жизни, но и как незаменимые союзники в криминалистике. С их помощью специалисты получают доступ к уникальным данным, которые могут сыграть решающую роль в расследованиях. Важно подчеркнуть, что, несмотря на все технологические инновации, человеческий фактор остается определяющим в раскрытии преступлений, где ключевую роль играют опыт и интуиция экспертов.

Социальная инженерия — это искусство манипулирования людьми с целью заставить их раскрыть конфиденциальную информацию. Мошенники используют различные уловки, чтобы обмануть жертву и получить доступ к ее личным данным, деньгам или даже корпоративным сведениям. Они могут представиться другом, с которым вы когда-то давно пересекались и уже не вспомните, коллегой из соседнего отдела, сотрудником банка или правоохранительных органов. Иногда они настолько убедительны, что довольно сложно заподозрить обман.

Эта статья познакомит вас с основами социальной инженерии, расскажет о ее методах и примерах из окружающей действительности. Вы узнаете, как распознать такие угрозы и защитить себя и свои данные. Ведь информированность — первый шаг к безопасности.

Мастерство обмана: как мошенники действуют сегодня

Социальная инженерия не всегда требует глубоких технических знаний — иногда достаточно лишь умения входить в доверие и убедительно лгать. Давайте рассмотрим наиболее распространенные методы, актуальные на сегодняшний день.

Фишинг

Один из самых популярных видов кибератаки, целью которой является получение конфиденциальной информации, такой как логины и пароли, номера кредитных карт и другие чувствительные данные. Производное от английского fishing («рыбалка»), понятие стало метафорой для ситуации, в которой мошенники ловят жертв на крючок лжи и манипуляций. Этот метод включает отправку сообщений, которые кажутся официальными, но на самом деле представляют собой ловушку для кражи данных. Фишинг осуществляется через электронную почту, текстовые сообщения или через веб-сайты.

Особенно хитрым является метод фишинга, когда мошенники отправляют электронные письма, копирующие визуальный стиль и форматирование официальных уведомлений от реальных организаций. Это может включать точное воспроизведение логотипов, шрифтов и даже подписей сотрудников. Такие письма могут содержать вложения или ссылки, которые устанавливают вредоносное ПО на устройство жертвы или перенаправляют их на фальшивые веб-страницы для ввода конфиденциальной информации.

Вишинг

Вид фишинга, который осуществляется с использованием телефонных звонков вместо электронных сообщений. Термин происходит от объединения слов voice («голос») и phishing («фишинг»). Классической схемой развода со звонком от «сотрудника службы безопасности банка», казалось бы, уже никого не удивить. Недавно стал популярным звонок якобы от оператора мобильной связи с информацией о том, что договор на обслуживание SIM-карты истекает и требуется подтверждение личных данных, чтобы номер не был заблокирован и не достался другому человеку. Целью мошенников является код из SMS для получения доступа к личному кабинету и дальнейшего управления чужими учетными записями и услугами.

Злоумышленники также могут использовать поддельные идентификаторы, чтобы их номер определялся как номер реальной организации.

Мошенничество в сообщениях

Другой распространенный метод — отправка ложных сообщений через SMS или мессенджеры с просьбой перейти по ссылке или предоставить личные данные. Нередко они содержат заманчивые предложения о неожиданном вознаграждении в ответ на перечисление небольшой суммы для получения выигрыша.

Наблюдается увеличение числа инцидентов, когда мошенники, выдавая себя за автора канала в Telegram, не только размещают комментарии о несуществующих конкурсах и призах, но и отправляют приватные сообщения от имени популярной личности. Бдительность усыпляют голубая галочка (обозначающая верифицированную учетную запись) и полное совпадение с названием аккаунта селебрити. Стоит помнить о том, что в Telegram можно создать множество аккаунтов с одинаковыми именами и аватарами, а фальшивую голубую галочку, очень похожую на настоящую, можно установить в качестве эмодзи-статуса, который доступен всем, кто пользуется подпиской Premium.

Имперсонация

Имперсонация в контексте кибербезопасности относится к виду мошенничества, при котором злоумышленники притворяются другим лицом или организацией, чтобы обмануть жертву и получить доступ к чувствительным данным или финансовым ресурсам. В этом случае мошенник притворяется кем-то, кого вы знаете и кому доверяете. Это может быть ваш коллега, друг или руководитель, которые могут попросить вас срочно перевести деньги или предоставить конфиденциальную информацию.

Мошенники могут создать фальшивый электронный адрес, подделать профиль в социальных сетях или использовать другие способы, чтобы убедить своих жертв в том, что они настоящие. Этот метод социальной инженерии особенно опасен, так как эксплуатирует доверие людей к известным лицам или компаниям, что делает его эффективным инструментом для мошенников в достижении их целей.

Спирфинг

Вид фишинга, но с более целенаправленным подходом. В отличие от традиционного фишинга, где мошенники рассылают одинаковые сообщения большому количеству людей, при спирфинге атаки ориентированы на конкретных индивидов или организации. Это делает его более мощным оружием, так как злоумышленники подробно изучают свои цели, собирая информацию о них для создания реалистичных сообщений.

Они могут использовать информацию из открытых источников, таких как социальные сети, корпоративные сайты и профессиональные платформы, чтобы узнать потенциальных жертв как можно лучше. Затем они используют эти данные для создания персонализированных сообщений, которые могут содержать специфические упоминания о месте работе жертвы, ее интересах или коллегах, что делает послания крайне убедительными.

Компрометация деловой электронной почты

Вид мошенничества, при котором злоумышленники притворяются высокопоставленными руководителями компании, сотрудниками или бизнес-партнерами, чтобы убедить коллег совершить финансовые переводы или предоставить конфиденциальную информацию.

В отличие от спирфинга, где акцент делается на получении личных данных, в BEC основной целью чаще всего является финансовая выгода. Злоумышленники могут взламывать или имитировать ящики электронной почты руководителей и отправлять поддельные запросы на переводы денег или платежи за якобы срочные нужды компании. BEC-атаки могут быть очень изощренными и включать длительные переписки, в ходе которых злоумышленники выстраивают доверительные отношения с жертвой. Они могут имитировать стиль общения реального человека, которого они представляют, используя информацию, полученную благодаря предварительному изучению его коммуникаций.

Адаптация мошенников к новым технологиям

Использование последних технологических достижений — словно гонка вооружений в мире обманных схем. Как только нам кажется, что мы изучили все трюки обманщиков, они снова на шаг впереди, оснащенные последними разработками цифрового мира. С развитием технологий стало возможным воплощение невероятно филигранных сценариев и поражение жертв мошенниками с точностью снайпера.

Социальные сети

Социальные медиа стали мощным инструментом для обманщиков, которые изучают профили своих жертв и затем используют личную информацию для убедительных атак. «Вижу, ты помогаешь приюту для животных. Лови фишинговое письмо с котятами, которым срочно нужна помощь!»

Еще пример: мошенник через социальные сети узнает, что человек недавно посетил определенное мероприятие или интересуется какой-то темой. Он может отправить электронное письмо, касающееся этой темы, с просьбой о предоставлении личных данных или перехода по ссылке, которая ведет на мошеннический сайт. Эти сообщения могут быть настолько хорошо адаптированы под интересы и жизненный контекст жертвы, что выявить обман будет крайне сложно.

Искусственный интеллект и машинное обучение

Некоторые мошенники 2.0 ушли еще дальше, применяя искусственный интеллект для создания фишинговых писем. Пример использования искусственного интеллекта (AI) для составления более убедительных посланий включает в себя алгоритмы машинного обучения и обработки языка. Эти технологии позволяют создавать письма, которые выглядят как написанные реальными людьми и даже имитируют стиль конкретного человека или компании.

AI может анализировать большое количество корпоративных писем, чтобы воспроизвести специфический стиль общения организации с аудиторией. Так, мошенники могут создать письмо, которое кажется отправленным известной компанией, включая точное воспроизведение тонкостей корпоративной переписки, что делает обман еще более незаметным. Например, письмо может имитировать стиль оповещений об обновлениях сервиса или важных уведомлений от службы поддержки, призывая пользователя нажать на ссылку или предоставить личные данные для верификации аккаунта.

Дипфейки и видеоманипуляции

Голливуд отдыхает! Появление технологии дипфейков открыло новую эру. Теперь мошенники могут создать реалистичное видео, собранное нейросетью на основе готовых изображений, в котором ваш начальник просит перевести все деньги компании на некий новый счет. Берегитесь!

Изменение или искажение видеоконтента с целью создания иллюзии, обмана или дезинформации представляет собой серьезную угрозу, поскольку такие материалы могут быть использованы для порчи репутации, создания ложных доказательств или манипулирования общественным мнением.

Красные флаги для выявления мошенников

Мошенники, применяющие методы социальной инженерии, часто транслируют сообщения, которые играют на страхах или слишком эмоциональны. Они запугивают, давят на жалость или используют другие манипуляции, чтобы убедить вас как можно скорее сообщить свои пароли, номера банковских карт или паспорта, перевести деньги на неизвестный счет или открыть удаленный доступ к компьютеру: «Если вы не предоставите данные прямо сейчас, все пропало!» Ага, уже бегу!

В их сообщениях могут быть несоответствия. Они могут предоставлять размытую или противоречивую информацию, что вызывает сомнения в ее подлинности. Мыслите как детектив: если что-то кажется слишком странным или слишком хорошим, чтобы быть правдой, возможно, пришло время провести расследование.

Если якобы представитель организации ведет себя непрофессионально или его коммуникация не соответствует стандартам этой компании, это может быть признаком мошенничества. Также стоит обратить внимание на контактные данные: если электронная почта, телефонные номера или веб-сайты отличаются от официальных, это, конечно же, повод для подозрения.

Официальные учреждения обычно не просят предоставлять личные данные или выполнять финансовые операции по телефону без предварительной проверки. Стоит быть осторожным, если вы получаете электронное письмо, которое кажется официальным, например, от вашего интернет-провайдера или налоговой службы, но электронный адрес отправителя выглядит нестандартно или отличается от обычного. В таких случаях рекомендуется не отвечать непосредственно на сообщение и не переходить по ссылкам в письме. Лучше самостоятельно связаться с организацией через контакты, указанные на официальном сайте, чтобы подтвердить подлинность запроса.

«Может быть, тебе дать еще ключ от квартиры, где деньги лежат?»

В мире, где мошенники постоянно совершенствуют свои методы, важно быть на шаг впереди. Знание того, как распознать признаки социальной инженерии и как себя защитить, может спасти вас от многих неприятностей.

Внимательность к деталям

Мошенники часто допускают некорректные выражения в своих сообщениях, будь то орфографические ошибки или странные формулировки. Если в письме больше грамматических недочетов, чем слов, или оно написано так, будто его автор забыл русский, это повод насторожиться.

Не доверять слепо

Если вам звонит кто-то, кто утверждает, что он из банка или другой организации, и просит личную информацию, лучше перезвонить по официальному номеру, указанному на сайте этой компании.

Двойная проверка источников

Никогда не переходите по подозрительным ссылкам в электронных письмах или сообщениях. Вместо этого посетите официальный сайт вручную через браузер.

Использование технических средств защиты

Установите надежный антивирус и обновляйте его регулярно. Также рекомендуется использовать двухфакторную аутентификацию для ваших онлайн-аккаунтов.

Обучение и осведомленность

Самое важное — регулярно изучать информацию о новых методах мошенников и делиться ей с близкими и членами семьи.

Осторожность и информированность как лучшая защита

Проблема социальной инженерии усугубляется недостаточным уровнем информированности среди пользователей Интернета. Чтобы успешно противостоять обману, нам нужно больше, чем просто антивирус и двухфакторная аутентификация. Мы должны регулярно обновлять наши знания о кибербезопасности, чтобы не отставать от последних трендов в мире мошенничества.

Ваш главный щит в борьбе с социальной инженерией — это критическое мышление, словно вы Шерлок Холмс цифровой эры, для которого каждый незнакомец в Интернете потенциально подозрителен и любое электронное письмо может быть ловушкой. Не забывайте также о непробиваемом скептицизме и помните, что ваша бдительность — тот плащ-невидимка, который поможет оставаться неуязвимым для Интернет-аферистов.

В этой статье мы рассмотрим наиболее распространенные виды мошенничества на этих платформах, поделимся советами о том, как защитить себя, и обсудим, какие шаги предпринимаются для борьбы с этой проблемой.

Распространенные схемы мошенничества на Avito и Youla

С расцветом цифровой торговли мошенники находят все новые способы обмана доверчивых пользователей. На Avito и Youla они используют различные методы, от фальшивых объявлений до сложных схем обмана — спектр мошенничества широк и разнообразен.

Эти методы мошенничества — лишь вершина айсберга. Важно понимать, что потенциальная угроза может скрываться за каждым объявлением, и необходимо проявлять бдительность при совершении любой сделки.

Ловушки для покупателей на Avito и Youla

Покупатели на Avito и Youla часто становятся жертвами хитроумных мошеннических схем. Следует знать о наиболее распространенных методах обмана, чтобы избежать потерь.

Требование предоплаты за несуществующий товар — мошенники часто выставляют привлекательные объявления о продаже популярных товаров по заниженным ценам. Они просят покупателя провести предоплату, обещая быструю отправку. Однако после получения денег продавец исчезает, а товар не доставляется.

Еще одна распространенная схема — продажа подделок под видом оригинальных товаров. Мошенники используют фотографии настоящих товаров, но отправляют дешевые имитации.

Обман с арендой жилья — на платформах множество объявлений об аренде недвижимости. Мошенники создают ложные объявления, требуя предоплату или залог. После перевода потенциальные арендаторы обнаруживают, что жилье либо не существует, либо находится в собственности у других лиц.

Использование поддельных документов — некоторые мошенники используют подложные документы для убеждения покупателей в подлинности товара или в своей надежности.

Также распространены фейковые магазины и продавцы. Мошенники могут создать убедительные страницы с хорошими отзывами и большим ассортиментом. Однако после оплаты товар не отправляется, а продавец перестает выходить на связь.

Мошенники отправляют покупателям поддельные уведомления о том, что товар отправлен через ту или иную службу доставки. В этих сообщениях часто содержатся ссылки на фальшивые веб-сайты для отслеживания посылки, где от покупателей требуют ввести личные данные, подтвердить наличие какой-либо суммы на карте или совершить дополнительные платежи.

Встречаются случаи, когда мошенники предлагают несуществующие услуги, например, бронирование туристических поездок или организацию мероприятий, и также требуют предоплату. Подобные ситуации часто заканчиваются тем, что услуги не оказываются, а деньги не возвращаются.

Советы по распознаванию обмана, если вы покупатель

Проверка информации

Основной шаг — тщательная проверка подлинности информации о продавце и товаре. Если есть возможность, старайтесь встречаться с продавцом лично, чтобы убедиться в надежности сделки. При онлайн-покупках используйте проверенные методы оплаты, которые предлагают защиту покупателя. Это поможет избежать потерь в случае, если товар не будет доставлен или окажется не соответствующим описанию.

Осторожность с предоплатой

Будьте осторожны, если продавец настаивает на предоплате, особенно при покупке дорогих товаров. Часто это является индикатором мошеннических намерений. Лучше всего совершать покупки через сервисы, где предусмотрена возможность оплаты после получения и проверки товара.

Проверка продавца

Оценка профиля продавца может многое рассказать о его надежности. Проверьте, как долго аккаунт продавца существует на платформе, а также наличие положительных отзывов от других покупателей, что поможет составить представление о его предыдущем опыте и репутации.

Подлинность товара

При покупке дорогих товаров, таких как электроника, важно требовать подтверждение подлинности. Например, для электронных устройств можно запросить серийный номер и проверить его на официальном сайте производителя, чтобы убедиться в подлинности продукта.

Защита личных данных

Важно ни при каких обстоятельствах не предоставлять личные данные и данные банковских карт незнакомым лицам или ненадежным источникам. Мошенники часто используют такие данные для доступа к финансовым ресурсам жертвы.

Безопасные методы оплаты

Для обеспечения максимальной безопасности сделок рекомендуется использовать платежные системы с функцией защиты покупателя. Это обеспечивает дополнительный уровень защиты в случае недобросовестных продавцов или некачественного товара.

Как продавцы становятся жертвами мошенников

Продавцы на Avito и Youla также подвержены риску стать жертвами мошенников. Вот несколько распространенных схем, нацеленных на них.

Фальшивые платежи — мошенники притворяются покупателями и используют поддельные квитанции об оплате, чтобы убедить продавца отправить товар. Как только товар отправлен, становится ясно, что платеж был фиктивным.

Обман с возвратом товара — покупатель может претендовать на возврат товара по различным причинам, заменив его на некачественный аналог или вовсе не отправив обратно. В итоге продавец теряет и товар, и деньги.

Еще один вид мошенничества связан с атаками социальной инженерии. Мошенники используют различные техники, чтобы убедить продавца предоставить личную информацию, данные банковской карты или даже доступ к своему аккаунту. Это может привести к серьезным финансовым потерям или компрометации аккаунта.

Наконец, есть случаи, когда мошенники совершают покупку, а затем подают недобросовестные жалобы на платформе, утверждая, что товар не соответствует описанию. Их цель — получить возврат денег, оставив при этом товар у себя.

Советы для защиты продавцов

Внимательно проверяйте поступление платежей

Перед отправкой товара удостоверьтесь, что деньги действительно зачислены на ваш счет. Это поможет избежать ситуаций, когда товар отправлен, а оплата не получена.

Используйте проверенные способы доставки

Отправляйте товары с возможностью отслеживания и получения подтверждения о доставке. Это обеспечит дополнительный уровень безопасности и доказательство выполнения вашей части сделки.

Детально фотографируйте и описывайте товар

Тщательно фотографируйте товар и делайте подробные описания перед его продажей. Это поможет вам в случае возникновения споров о соответствии товара его описанию или состоянию.

Соблюдение мер предосторожности значительно снижает риск стать жертвой мошенничества и способствует безопасным и успешным транзакциям, а также развитию критического мышления в процессе взаимодействия с онлайн-платформами.

Роль цифровых расследований в борьбе с мошенничеством

В ответ на растущую угрозу мошенничества на онлайн-платформах цифровые расследования становятся ключевым инструментом в раскрытии и предотвращении обмана. Специалисты по кибербезопасности используют различные технологии и методы для отслеживания и анализа мошеннических действий на платформах вроде Avito и Youla.

Одним из основных инструментов в этой области является применение искусственного интеллекта. Алгоритмы машинного обучения анализируют поведенческие паттерны и помогают выявлять признаки мошенничества, например, нереалистично низкие цены или повторяющиеся тексты объявлений. Они способны сканировать и анализировать объемные данные, обнаруживая аномалии в публикации объявлений и частоте изменений в учетных записях.

Другой важный аспект — анализ больших данных (big data). Этот подход включает в себя сбор и анализ масштабных объемов информации с сайтов объявлений для выявления определенных следов, которые могут указывать на мошеннические действия. Аналитические инструменты исследуют необычные паттерны поведения пользователей и транзакций, что позволяет выявить подозрительную активность.

Истории успешных цифровых расследований также имеют большое значение. Они раскрывают случаи, когда команды кибербезопасности успешно идентифицировали и пресекали мошеннические действия на Avito и Youla. Из этих историй можно извлечь опыт для улучшения безопасности на платформах объявлений, что помогает формировать новые стратегии и подходы к борьбе с мошенничеством в Интернете.

Очевидно, что благодаря развитию технологий цифровых расследований становится возможным эффективнее защищать пользователей от мошеннических действий и поддерживать безопасную среду на онлайн-платформах.

Применение «Мобильного Криминалиста» в расследованиях

Программное обеспечение «Мобильный Криминалист» предоставляет мощные возможности для анализа больших объемов данных, извлекаемых из различных цифровых устройств. Это включает в себя не только текстовые сообщения и историю звонков, но и геолокационные данные, которые могут играть ключевую роль в процессе выявления мошенников. Такой анализ помогает в раскрытии сложных случаев, позволяя обнаруживать неочевидные связи и модели поведения, которые могут указывать на обманные действия.

Кроме того, «Мобильный Криминалист» способен выявлять связи между различными аккаунтами и транзакциями. Это особенно полезно в ситуациях, где мошенник использует несколько учетных записей на платформах вроде Avito и Youla для осуществления своих обманных схем. ПО помогает сопоставить данные между аккаунтами и банковскими переводами, что может привести к выявлению общих паттернов или повторяющихся действий, указывающих на мошенническую деятельность. Эти связи, возможно, не были бы очевидны при ручном анализе данных, но алгоритмы «Мобильного Криминалиста» способны обнаружить их, предоставляя ключевую информацию для расследований.

Таким образом, использование «Мобильного Криминалиста» в расследованиях мошенничества на онлайн-платформах значительно увеличивает шансы на успешное выявление и пресечение обманных действий, а также помогает восстановить справедливость и защитить потерпевших.

В заключение, отметим, что в Интернете каждое объявление может обернуться как выгодной сделкой, так и удочкой мошенника. Будьте бдительны, используйте технологии и знания для защиты, и тогда ваш следующий улов на Avito не окажется киберпираньей.

Давайте вместе вспомним все самые яркие события и изменения программного обеспечения 2023 года!

Что нового в поддержке Android-смартфонов?

Согласно информации «Российской газеты», Android-устройства средней ценовой категории (от 15 до 35 тысяч рублей) являются самым популярным и динамично развивающимся сегментом мобильного рынка. И это неудивительно, ведь сегодня чипсеты от компаний MediaTek, Unisoc и Qualcomm применяются буквально повсеместно. Статистика фирмы Counterpoint Research за второй квартал 2023 года показала, что MediaTek продолжает лидировать на мировом рынке процессоров для мобильных устройств. На этот раз доля MediaTek составила 30%, Qualcomm — 29%, а Unisoc — 15%.

Мы следим за трендами и планомерно расширяем линейку поддерживаемых Android-устройств, работающих на базе чипсетов MediaTek. В рамках уже существующего метода извлечения «MTK Android» добавлена поддержка устройств на чипсетах MT6765, МТ6768, MT6785, MT6761, MT6833, МТ6853 и МТ6893.

Одним из популярных брендов среди Android-устройств на чипсетах MediaTek является Samsung, смартфоны от которого также поддерживаются «Мобильным Криминалистом», предоставляя возможность подбора пароля, извлечения и расшифровки данных из Samsung-устройств с пофайловым шифрованием и доверенной средой исполнения TEEGRIS на чипсете MediaTek MT6768 и предустановленных версиях Android 9 и выше.

Если говорить о Samsung, нельзя не упомянуть о важном обновлении метода «Samsung Exynos», который не только поддерживает уже более 190 моделей смартфонов на чипсетах Exynos, но и теперь позволяет подобрать пароль блокировки экрана на устройствах, оснащенных функцией как полнодискового, так и пофайлового шифрования данных.

Стоит отметить развитие инструмента по извлечению данных из Huawei-смартфонов, базирующихся на чипсетах компании Qualcomm, а именно «Huawei Qualcomm EDL». Программа поддерживает извлечение данных из устройств Huawei на чипсетах SDM450, MSM8917, MSM8937 и MSM8940. Многие пользователи по всему миру признают их как производительные и защищенные смартфоны.

Несмотря на то, что телефоны китайского бренда на чипсетах американской компании не выходили с 2019 года, они до сих пор предлагают достаточно высокий уровень безопасности пользовательских данных.

Тем не менее, и в них есть ряд уязвимостей, эксплуатация которых дает возможность получить доступ к хранящейся в смартфонах пользовательской информации. Обновленный модуль «МК Извлечение устройств» получает и расшифровывает полный физический образ телефонов от Huawei.

Функцией пофайлового шифрования теперь обладают также устройства производителя Unisoc (Spreadtrum). «Мобильный Криминалист» извлекает физический образ и аппаратные ключи шифрования из смартфонов на чипсетах T606, T616, T612 и T310 на Android с версией 10 и выше.

iOS-устройства: расширяя возможности

Противостояние iOS- и Android-устройств длится уже много лет. Если во всем мире популярность продукции компании Apple продолжает набирать обороты, то в России мобильные телефоны этого бренда уже входят только в топ-5. Однако, по примерным подсчетам, сегодня iPhone все еще пользуются более 13 миллионов россиян. По этой причине очень важно иметь в своем арсенале инструмент для получения информации из iOS-устройств.

За год мы значительно улучшили инструмент «iOS-Агент». Напомним, что «iOS-Агент» — решение от компании «МКО Системы», которое официальными методами от Apple устанавливается непосредственно на устройство как обычное непривилегированное пользовательское приложение. Стоит отметить, что при установке «iOS-Агента» подпись приложения производится через персональный компьютер на Windows. Помимо расширения линейки поддерживаемых устройств до iPhone 14 Pro и версий iOS 15.0 - 15.7.2 и 16.0 - 16.5, мы добавили возможность извлечения полной файловой структуры и данных Keychain из Арре-устройств на версиях iOS 15.0 - 15.4.1, от iPhone Xs до iPhone 13, без необходимости подписи приложения. Отдельно стоит отметить функционал извлечения общедоступных данных для всех устройств Apple на версии iOS 12 и выше. Теперь без применения уязвимостей доступны информация об устройстве, данные контактов, календарь и события, фотографии и другие медиафайлы.

Более того, извлечение полной файловой системы и данных хранилища Keychain из Apple iPhone 7 и iPhone 7 Plus на версиях iOS 14.0 - 15.7.3 при помощи уже хорошо знакомого метода «iOS с использованием checkm8» более не требует предварительного отключения пароля блокировки экрана.

«Скаут» — незаменимый инструмент в форензике

Только в третьем квартале 2023 года количество инцидентов в области информационной безопасности в России выросло на 85% по сравнению с аналогичным периодом 2022 года. За один день на российские ресурсы совершается более 170 целевых атак. Основой расследования инсайдерской деятельности, атак вредоносных программ и других инцидентов информационной безопасности является исследование данных персональных компьютеров. Задачу анализа сведений рабочих станций на Windows, macOS и GNU/Linux решает «Скаут» — один из модулей программного обеспечения бренда «Мобильный Криминалист».

В 2023 году мы полностью изменили начало процесса исследования ПК, образов и внешних дисков, заменив выбор режимов поиска на выбор предустановленных профилей поиска данных с широким набором различных комбинаций. Новый подход позволяет значительно сэкономить время и исследовать только требуемые данные. Например, только все приложения, пароли и токены или только все документы и изображения, хранящиеся на компьютере. Модуль предоставляет возможность создания, сохранения и загрузки собственных профилей.

Также добавлена возможность отслеживать в реальном времени, на какой стадии находится поиск и какие этапы остаются в очереди, через отображение каждой отдельной задачи поиска на главном экране модуля.

Из больших обновлений стоит выделить четыре новые функции модуля «МК Скаут» по работе с источниками данных. Первая — анализ образов оперативной памяти ОС Windows в формате RAW или DMP. Теперь исследование образов дисков возможно произвести одновременно с исследованием одного или нескольких плагинов оперативной памяти. При этом данные, найденные в оперативной памяти, автоматически применяются для получения дополнительной информации из образа диска.

Вторая новая возможность — исследование физических образов и внешних дисков с технологией управления томами Logical Volume Manager на платформе GNU/Linux, для полноценного изучения которых требуется подключить одновременно несколько физических или побитовых образов этих дисков. Наши разработчики реализовали решение, которое уведомляет пользователя о необходимости добавления дополнительных источников информации, после чего формирует из нескольких образов единое логическое пространство и исследует его так же, как раздел обычного диска.

Третья — исследование образов, дисков, разделов дисков и отдельных файловых контейнеров, защищенных при помощи VeraCrypt. Стоит отметить, что если диск или раздел, защищенный технологией VeraCrypt, открыт на момент исследования системы или создания образа оперативной памяти «Скаутом», ключ от диска, содержащийся в оперативной памяти, будет автоматически сохранен и его можно будет применить для расшифровки контейнеров.

Четвертая возможность — восстановление удаленных файлов для файловых систем NTFS, FAT16, FAT32 и exFAT. Более того, в секции «Диски и разделы» возможно выбрать, применять ли восстановление удаленных файлов для каждого раздела, а затем произвести поиск по файлам, приложениям и артефактам в том числе среди восстановленных данных. В случае если восстановленные файлы являются частью какого-либо приложения, найденное приложение будет также использовать их при анализе и будет отмечено как восстановленное.

Обнаружение вредоносных объектов

Совместно с компанией «Лаборатория Касперского» в «Мобильном Криминалисте» мы реализовали функцию сканирования извлеченных данных на наличие вредоносных объектов. Встроенный инструмент позволяет обнаружить угрозы как на исследуемом ПК, внешнем жестком диске и в их образах, так и в файловой структуре ранее полученных извлечений из любых цифровых источников.

Перевод с 10 иностранных языков

В 2023 году мы добавили новый модуль на базе ИИ, который позволяет переводить текст в извлечении напрямую, не используя стороннее ПО.

Данный функционал реализован в секциях «Приложения», «Сообщения» и «Лента событий». Для начала работы с модулем требуется скачать его на личной страничке пользователя. После установки в указанных секциях появится опция перевода как всего пула, так и отдельных сообщений на требуемый язык. «Мобильный Криминалист» поддерживает возможность перевода с украинского, белорусского, казахского, армянского, английского, таджикского, азербайджанского, турецкого, китайского и арабского языков.

При использовании функционала напротив каждой ячейки появляется значок обработки задания. Важно отметить, что каждая строка переводится в отдельном потоке. После выполнения перевода справа от ячейки с текстом появляется значок, который позволяет идентифицировать сообщение как переведенное. При нажатии на него возможно изучить как оригинальный текст, так и переведенный, что даст возможность оценить эффективность перевода.

В отчет, на выбор, можно экспортировать исходный текст, переведенный текст или исходный и переведенный вместе. Для эффективной работы с модулем доступны настройка языковых пар и выбор языка перевода по умолчанию.

Облачные сервисы: 100+

Насколько популярны облачные сервисы на сегодняшний день? По примерным подсчетам, уже в 2020 году в облаках хранилось более 40 зеттабайт информации. Ожидается, что к 2025 году этот объем достигнет 100 зеттабайт. На первый взгляд, может показаться, что это совсем немного, но для понимания, зеттабайт — это один миллиард терабайт. Популярность хранения данных в облаках стремительно растет, но что это дает?

Уже сейчас «Мобильный Криминалист» позволяет исследовать данные совершенно разных облачных сервисов: в поддержке продуктов бренда «МК» — более 105 облачных сервисов. В 2023 году была реализована поддержка программы для хранения паролей LastPass, трекера здоровья Huawei Health, сервиса для общения Google Messages и значительно расширены возможности извлечения данных из облачного сервиса Telegram (извлечение тем групповых чатов, коллекционных публичных имен, реакций и истории событий чатов).

«Аналитический Центр Криминалист» — эффективный инструмент для анализа данных

На протяжении многих лет мы разрабатываем программное обеспечение, предназначенное не только для извлечения, но и для анализа данных из самых разнообразных цифровых источников. Каждый продукт линейки «МК» позволяет сделать процесс расследования не только максимально эффективным, но и более быстрым и комфортным.

В 2023 году наша компания представила обновленную версию продукта «Аналитический Центр Криминалист» 2.0 — клиент-серверное приложение от компании «МКО Системы». Данное решение позволяет одному или нескольким пользователям одновременно анализировать массив данных из полной базы загруженных извлечений и включает в себя в следующий функционал:

• поиск ключевых данных по всей базе загруженных извлечений;
• автоматический анализ текста по предустановленным
  тематическим словарям;
• сравнение данных из нескольких дел или отдельных извлечений между собой для поиска совпадающих элементов и многое другое.

Планы на 2024 год

Уже совсем скоро мы выпустим новые версии программных продуктов «Мобильный Криминалист»! Готовим к запуску обновленный сайт с блогом и уже бронируем залы, чтобы встретиться с вами 12 февраля в Казани и 28 февраля в Москве на серии семинаров «Цифровая Криминалистика 24». Совсем скоро мы также анонсируем и другие мероприятия, которые пройдут в конце весны и летом этого года. И, конечно, готовим новые потоки обучающего курса от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится 4 потока курса, где мы не только расскажем о теоретических аспектах, но и на практике используем наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных. Если вы хотите принять участие в обучении, пожалуйста, оставьте заявку уже сейчас. На наш майский поток осталось меньше половины мест.

Следите за новостями на нашем сайте и в Telegram-канале — впереди много интересного :)

Популярность WhatsApp может быть связана с тем, что он позиционирует себя как одну из самых безопасных платформ для общения. Переписка, голосовые сообщения, звонки, фото, видео и передаваемые файлы по умолчанию защищены сквозным шифрованием и не хранятся на сервере WhatsApp.

Неудивительно, что благодаря этому он привлекает злоумышленников, и с большой степенью вероятности каждый эксперт столкнется с необходимостью получения данных из него в процессе расследования преступлений. Для этого важно иметь в арсенале различные инструменты и сценарии.

С помощью «Мобильного Криминалиста» возможно извлекать данные WhatsApp из мобильных устройств, облачных сервисов iCloud и Google, зашифрованных резервных копий, облачного сервера WhatsApp, с помощью QR-токенов из ПК, а также из веб-версии, версии для десктопа и модифицированных версий WhatsApp. С небольшими вариациями, основной массив получаемой любым из этих способов информации включает в себя наиболее значимые для расследования данные:

• информацию об учетной записи;
• список контактов;
• приватные и групповые чаты с медиафайлами и другими вложениями;
• информацию о групповых чатах;
• звонки.

WhatsApp на мобильных устройствах: iOS и Android

При изучении данных приложений для обмена сообщениями, таких как WhatsApp, эксперты часто сталкиваются с блокировкой экрана и шифрованием устройства.

Сквозное шифрование, реализованное в WhatsApp, обеспечивает безопасность только при атаке посредника или простом перехвате в реальном времени. Однако данные на устройствах Apple iOS или Android доступны для расшифровки.

Что касается устройств iOS, данные WhatsApp можно извлечь с помощью получения резервной копии iTunes, а для устройств Android мы рекомендуем метод физического извлечения для восстановления файлов WhatsApp.

Эксперты могут воспользоваться любым из множества методов «Мобильного Криминалиста» для физического извлечения данных из Android-устройств. При исследовании устройства на ОС Android следует всегда проверять SD-карту на наличие резервной копии WhatsApp, поскольку этот файл обычно зашифрован.

Если физическое извлечение не поддерживается на Android-устройстве, можно использовать методы «Понижение версий АРК» или «Android-Агент» из модуля «МК Извлечение устройств», чтобы запустить логическое извлечение и получить множество ценных данных. Он позволяет задать выборочное извлечение чатов, контактов, звонков и данных учетной записи из WhatsApp и WhatsApp Business.

Для версии WhatsApp Business дополнительно доступно извлечение информации о часах работы компании, а также данных каталогов товаров и услуг, загруженных в профиль.

WhatsApp iCloud Backup и Google Backup

Пользователь WhatsApp, использующий iOS- или Android-устройство, может создать резервную копию своих чатов в iCloud или Google Drive.

Важно отметить, что резервные копии WhatsApp также могут быть зашифрованы, и для их расшифровки эксперту потребуется доступ к SIM-карте, с помощью которой он может восстановить и расшифровать связанные с ней данные WhatsApp.

При извлечении данных мессенджера из различных облачных сервисов могут возникнуть дополнительные препятствия, такие как двухфакторная аутентификация или двухшаговая проверка. Модуль «МК Облачные сервисы» программного обеспечения «Мобильный Криминалист» поможет их преодолеть.

Извлечение облачных данных может оказаться чрезвычайно важным для расследования дела, так как они могут содержать информацию, удаленную с устройства. Это возможно, если резервное копирование чатов было настроено пользователем на периодичность раз в неделю или раз в месяц.

WhatsApp Cloud

Известно, что WhatsApp не хранит на своем сервере доставленные сообщения. Временному хранению подлежат только данные о неотвеченных вызовах и сообщениях, которые не получилось доставить (например, если устройство не было подключено к Интернету или было выключено).

«Мобильный Криминалист» обладает уникальной возможностью доступа к этим данным из облака с помощью номера телефона или специального токена WhatsApp Cloud, извлеченного из Android-устройства.

Рекомендация

Если не получается разблокировать мобильное устройство, попробуйте следующее: выключите его, подождите несколько минут, извлеките SIM-карту и вставьте ее в другой телефон, разблокированный для оператора связи.

Выберите службу WhatsApp Cloud в модуле «МК Облачные сервисы» и затем — получение кода аутентификации в SMS-сообщении.

Таким образом возможно получить доступ к недоставленным сообщениям и к информации о неотвеченных звонках.

Расшифровка резервной копии WhatsApp

Стандартный метод расшифровки резервной копии WhatsApp, используемый в отрасли, основан на расшифровке файла ключа (key file). Благодаря инновационным методам «Мобильный Криминалист» предлагает новый процесс расшифровки, для которого требуется только номер телефона. Этот метод является отличной альтернативой обычно используемому файлу ключа.

Например, вы нашли зашифрованную резервную копию на SD-карте Android без доступа к внутренней памяти Android. Что делать?

Модуль «МК Облачные сервисы» предлагает эксклюзивную возможность расшифровать ее, получив код на номер телефона, присвоенный восстановленной SIM-карте. Стоит отметить, что в модуле также реализована поддержка дешифрования резервных копий crypt15 для сервиса WhatsApp.

Помимо данных с устройства, «Мобильный Криминалист» также может восстановить специальный токен WhatsApp Cloud из физических извлечений Android-устройств. Его можно использовать для расшифровки резервных копий WhatsApp с устройств Android, WhatsApp Google и WhatsApp iCloud, привязанных к тому же номеру телефона.

WhatsApp через QR-токен с ПК

Пользователи WhatsApp могут общаться с помощью приложений WhatsApp Desktop и WhatsApp Web на персональном компьютере. Исследование показало, что WhatsApp не сохраняет никаких данных на самом ПК.

Однако при помощи модуля «МК Скаут», встроенного в «Мобильный Криминалист», возможно обнаружить токен авторизации WhatsApp QR Multi-device для ПК на Windows, где использовался мессенджер. Этот токен, в свою очередь, позволит извлечь полный объем данных приложения через «МК Облачные сервисы». Единственное условие — мобильное устройство владельца WhatsApp должно быть подключено к Интернету.

Метод QR-кода WhatsApp будет работать даже с заблокированным смартфоном.

Если извлечение из разблокированного мобильного устройства iPhone, Android или Windows Phone не удается, возможно отсканировать QR-код WhatsApp в методе WhatsApp QR Multi-device модуля «МК Облачные сервисы», чтобы получить данные.

Настройка конфигуратора поиска «МК Скаут» при исследовании ПК позволит получить данные мессенджера для платформ Windows и macOS, если он был установлен как с официального сайта, так и из магазина приложений.

Для образов, снятых с ПК на платформе Windows, и при исследовании запущенной системы Windows реализована возможность расшифровывания базы данных приложения. Кроме того, поддерживается извлечение данных веб-версии WhatsApp в составе браузеров Chromium, Яндекс Браузер, Brave, Vivaldi, Google Chrome, Microsoft Edge и Opera для Windows, macOS и GNU/Linux.

Таким образом, при помощи «Мобильного Криминалиста» эксперты смогут получить уникальные цифровые свидетельства и как можно скорее восстановить справедливость в ходе расследования инцидентов.

Несмотря на набирающую популярность esim (электронную SIM, не требующую использования физической карты) в последних моделях Android- и iOS-устройств, спрос на обычные SIM-карты продолжает расти во всем мире и составляет не менее 5 миллиардов в год. Учитывая такое широкое распространение, возможность криминалистического исследования SIM-карт не теряет своей актуальности.

Из истории

Первые SIM-карты, представленные более 30 лет назад, были размером со стандартную пластиковую карту, однако с каждым новым поколением становились миниатюрнее и получали более усовершенствованный функционал поддержки различных типов сети. В настоящее время выбор размера необходимой симки определяется брендом, габаритами и новизной устройства и может включать в себя нано-SIM, микро-SIM или стандартную SIM.

Подключение SIM-карт различного формата к ПК в процессе криминалистического расследования обычно не представляет сложности. Если ридер требует только использования формата «стандарт», легко воспользоваться специальными адаптерами для изменения формата карты.

А что внутри?

Вопреки расхожему мнению, данный модуль является не «чем-то вроде флешки», а разновидностью смарт-карт с собственным процессором, незаменимым для полноценного использования смартфона.

Как правило, SIM-карта не обладает большим объемом памяти и может вместить примерно до 256 Кб данных. Из этого объема больше половины занимают данные сотового оператора, а остальное — операционная система и данные владельца.

В поисках ценной информации

В программном обеспечении линейки «Мобильный Криминалист» был разработан метод для извлечения данных из SIM-карт в модуле «МК Извлечение устройств». Используя ридер для подключения карты к ПК, специалист может воспользоваться данным функционалом и изучить данные с SIM-карты в удобном представлении.

При работе с методом может потребоваться ввод PIN-кода, если он был включен.

Стоит отметить, что сегодня большинство операторов устанавливают 0000 или 1111 в качестве PIN-кода для новых SIM-карт. Если PIN неизвестен либо был трижды введен неверно, можно ввести PUK-код.

На главном экране извлечения отобразится общая информация о SIM-карте: тип платформы, номер мобильного абонента цифровой сети (MSISDN), название оператора (SPN), международный идентификатор мобильного абонента (IMSI), уникальный серийный номер карты (ICCID) и список запрещенных сетей (FPLMN). Также доступны данные о местонахождении: мобильный код страны (MCC), код мобильной сети (MNC) и временная отметка (TMSI).

При помощи «Мобильного Криминалиста» возможно изучить список последних набранных номеров владельца устройства, данные телефонной книги, сохраненные на SIM (имя, телефонный номер), и сообщения с указанием направления, номера абонента, номера SMS-центра, времени получения и самого текста сообщения на языке оригинала (с возможностью последующего перевода при необходимости).

В таком случае исследователю предстоит длительная и кропотливая работа. Помимо специальных технических навыков, ему может потребоваться специальное оборудование для монтажа и демонтажа микросхем и иных комплектующих изделий, а самое главное — знание, как решать ту или иную задачу, ведь для извлечения данных нужно четко знать алгоритм действий, чтобы не уничтожить устройство.

Ниже мы рассмотрим типичные случаи, с которыми чаще всего сталкиваются специалисты в рамках работы «Лаборатории МКО Системы», без затрагивания метода Chip-Off.

Начнем с элементарных вещей

Извлечение данных из смартфонов Huawei на чипсетах Kirin никогда не было легкой задачей. Основной сложностью данного метода всегда являлась необходимость разобрать устройство, замкнуть контактные точки и подключить его к компьютеру в режиме COM-порта. Если под рукой у эксперта есть все инструменты и при использовании ПО он обнаружил контактные точки к попавшей к нему модели устройства, все равно может возникнуть нюанс: для некоторых устройств с обновлением позже июля 2021 года необходимо и замыкание контактных точек, и использование для подключения специального кабеля Harmony TP.

Данный кабель поддерживает устройства на чипсетах Kirin 710/710A/710F, 810, 820, 980, 985, 990 и 990 5G. Его доставка из Китая может занять много времени, но также его можно изготовить самостоятельно. Для этого потребуется разрезать USB Type C и прикрутить или припаять резисторы к проводам особым образом.

Что это дает?

Например, к специалисту попал телефон YAL21-L, который заблокирован неизвестным паролем. Смартфон поддерживается в программе «Мобильный Криминалист», но не подключается в стандартном режиме через замыкание контактных точек. А при попытке подключения его через модифицированный кабель данные успешно извлекаются и расшифровываются.

Huawei пытались закрыть эту уязвимость, но так как она находится в BootROM, такая возможность маловероятна. Тем не менее, они смогли внести правки в часть прошивки, отвечающую за инициализацию USB, и при подключении старым способом уровни сигнала на USB перестали соответствовать нормальным — что, по их предположению, должно было препятствовать эксплуатации уязвимости.

Суть использования кабеля заключается в том, что он корректирует уровень сигнала USB до нормального значения. Huawei устранили программную инициализацию USB, а кабель делает это на аппаратном уровне.

Помимо трюка с USB, существует ряд иных нюансов по работе с Huawei-устройствами. Этот производитель задействовал дополнительный криптографический чип, который препятствует подбору пароля. Поэтому для Huawei с новым типом шифрования «Мобильный Криминалист» в состоянии извлечь и расшифровать данные только с тех устройств, на которых не задан пароль. Как оказалось, отдельный криптографический чип Huawei реализовали в своих устройствах более 5 лет назад, но почему-то его не использовали. Свежая схема схожа с той, что сейчас используется в iPhone.

Тем не менее, иногда встречаются и обратные ситуации, когда на прошивках 2023 года не нужен кабель и/или используется старая схема шифрования, для которой программа умеет подбирать пароль — у Huawei сложная система обновлений, и чтобы сказать наверняка, будет ли работать подбор пароля, необходимо попробовать провести извлечение.

В продолжение темы контактных точек

Для успешной расшифровки данных устройства с чипсетом MediaTek необходимо знать используемый алгоритм шифрования. Одна часть алгоритма шифрования является постоянной и одинакова для всех Android-устройств. А другая его часть переменная — реализована в TEE и варьируется в зависимости от используемой в устройстве версии TEE OS.

Вот несколько примеров TEE и производителей, у которых они встречаются:

• Microtrust — Xiaomi, General Mobile
• Kinibi — Oppo, Vivo, Realme, Motorola
• TEEGRIS — Samsung
• iTrustee — Huawei, Honor
• Trusty — Tecno, Nokia
• T6 — DEXP, BQ

По сути они все выполняют одну и туже функцию, но немного по-разному: иначе формируются ключи шифрования и из разных аппаратных секретов.

Тем не менее, всегда стоит попытаться извлечь из MTK-гаджета аппаратные ключи, даже если связка пока не поддерживается для расшифровывания «Мобильным Криминалистом». Это позволит уже сейчас снять образ и ключи, а потом в свежей версии «МК» импортировать старый образ, который ранее не расшифровывался.

И все же извлечение данных из MTK-устройств — это не всегда однокнопочное решение с переподключением или перезагрузкой устройства. Для извлечения данных из Samsung на MediaTek снова понадобятся контактные точки. Если в случае с Huawei они обычно находятся прямо под задней крышкой исследуемого устройства, то в Samsung на MediaTek они могут располагаться на обратной стороне платы. Алгоритмы подключений схожи, ведь, чтобы извлечь данные из исследуемого устройства, также потребуется подключить его к компьютеру в режиме COM-порта.

Замыкание контактных точек встречается и на устройствах Motorola с чипсетами MediaTek. Чтобы добраться до них, может понадобиться откусить или отпилить часть пластика.

Еще одна альтернатива — замыкание точек на самом процессоре, но к этому методу стоит прибегнуть, только если контактные точки отсутствуют. В таком случае следует проверить спецификацию процессора и найти ту, которую необходимо замкнуть. Воспользоваться этим методом стоит, только если эксперт на 100% уверен в том, что делает, и других вариантов больше нет.

С Samsung не все так просто

Как и Kirin для Huawei, Exynos для Samsung являются эксклюзивными процессорами. Даже при извлечении данных «Мобильным Криминалистом» из устройств Android на версиях 9-11 задействуется целый ряд уязвимостей:

— уязвимости и недостатки протокола ODIN, позволяющие изменять параметры командной строки запуска ядра, чтобы загружать образ из RAM и затем загружать в RAM специально подготовленный образ;

— бреши в системах защиты от Samsung и Android, предоставляющие программе возможность получения повышенных привилегий, достаточных для чтения данных, а также подбора пароля на устройстве.

Если данные из устройства все равно не получается извлечь, несмотря на то, что его модель и версия Android поддерживаются в программе, причина может заключаться в патче безопасности. Если он новее марта 2022 года, то шансы на успешное подключение и извлечение информации стремительно тают.

Что можно сделать в таком случае?

Иногда есть возможность временно понизить версию операционной системы. В «Мобильном Криминалисте» такой метод не реализован из-за больших рисков. При неосторожной работе с ним можно стереть все данные с исследуемого устройства.

Как это работает?

Подход основан на использовании протокола ODIN. Существует одноименная утилита ODIN, которая позволяет обновлять прошивку устройства. Откат возможен только в рамках текущей версии загрузчика. Если версия загрузчика выше, то данный подход не применим. Важно отметить, что для использования метода не требуется разблокировка загрузчика.

Зазор по откату варьируется от устройства к устройству и обычно составляет от нескольких месяцев до полугода — иногда этого достаточно, чтобы понизить версию ПО устройства до уязвимой. Существует множество нюансов, чтобы при откате не утратить данные, особенно когда он затрагивает версию Android, поэтому лучше доверить это специалистам.

Что делать, если устройство не поддерживается программой?

Можно воспользоваться решением «Мобильного Криминалиста» под названием «Android-Агент», но в таком случае случае получится извлечь только часть данных. Однако иногда, хоть и редко, но встречается ситуация, когда на устройстве уже разблокирован загрузчик. В этом случае возможно получить временный root-доступ к устройству посредством запуска модифицированного образа и, как следствие, возможность извлечь полную файловую систему.

Самый простой способ получить модифицированный образ с root — воспользоваться утилитой Magisk. Для этого потребуется оригинальный boot.img. Обычно, зная версию ПО, найти его не сложно. Затем следует отправить его в Magisk, и на выходе будет получен модифицированный загрузочный образ c root-правами.

Далее необходимо перевести устройство в режим fastboot и посредством команды fastboot boot запустить модифицированный образ. После этого «Мобильный Криминалист» успешно идентифицирует устройство и извлечет полную файловую систему при условии уже разблокированного загрузчика.

Данный способ реализуем только в рамках работы Лаборатории «МКО Системы», так как для каждого устройства требуется свой модифицированный загрузчик и в целом подход требует аккуратного исполнения, чтобы не потерять данные. Иногда встречаются методы разблокировки загрузчика без потери пользовательских данных, но, как правило, для устройств, к которым применимы подобные техники, в «Мобильном Криминалисте» предусмотрены более эффективные методы извлечения: Qualcomm EDL, MTK Android, Unisoc Android.

Следует помнить, что иногда для успешного извлечения данных достаточно элементарных действий. Прежде чем переходить к радикальным методам, попробуйте почистить USB-порт или заменить кабель.

Перечисленные методы — не панацея, и если устройство расплавили в микроволновке, они не помогут. Экспертам в повседневной работе часто приходится сталкиваться с самыми разными и необычными случаями повреждения мобильных устройств. К сожалению, не всегда из них возможно извлечь необходимую для расследования информацию. Однако это дает производителям программных продуктов в данной области пространство для исследований и создания новых, инновационных решений.

Специалисты по кибербезопасности рекомендуют использовать не менее 12 символов в пароле, естественно, не делая его при этом предсказуемым и легким для угадывания. Понятно, что запомнить подобные комбинации — практически невозможно. Большинство традиционных подходов к управлению паролями не отвечают требованиям надежности, и на смену эре бумажных стикеров, заметок в блокнотах и текстовых файлов приходят специальные менеджеры паролей.

Это сервисы, которые случайным образом генерируют уникальные или сохраняют пользовательские пароли, а также могут быть дополнены различными функциями, такими как автозаполнение, мониторинг по скомпрометированным базам данных и т.п. По утверждению создателей, хранилища шифруются и расшифровываются только на уровне устройства и данные хранятся в секрете даже от разработчиков.

Согласно данным опросов, каждый третий пользователь услуг современного цифрового мира хранит учетные данные в каком-либо менеджере паролей. Можно ожидать, что примерно треть устройств, попадающих в руки экспертов в ходе расследования инцидентов, будет содержать в себе данные парольных хранилищ.

На рынке существует множество различных предложений, как платных, так и бесплатных. Рассмотрим некоторые из них, данные из которых возможно извлечь и расшифровать при помощи продуктов линейки «Мобильный Криминалист».

LASTPASS

Один из самых популярных сервисов хранения паролей, аудитория которого насчитывает более 33 млн пользователей и 100 тыс. компаний. Шифрование в облачном сервисе происходит по алгоритму AES-256 и соответствует стандарту SOC 2 Type II. Помимо сохраненных учетных записей и паролей, приложение предоставляет возможность хранить данные платежных карт, номера личных документов, таких как паспорт, водительские права и т.п.

Благодаря функционалу «Мобильного Криминалиста» специалист может извлечь данные из облачного хранилища LastPass. Для изучения доступны название папки, в которой сохранен пароль, ссылка на веб-страницу, от которой сохранен пароль, имя пользователя в учетных данных, пароль от учетных данных, заметка о пароле, добавленная владельцем учетной записи. Также можно узнать о необходимости введения мастер-пароля при запуске или редактировании документа, включен ли автоматический логин и автозаполнение из расширения LastPass для определенных сайтов, а также уникальный идентификатор пароля.

Помимо вышеперечисленного, в процессе исследования цифровых улик станет доступна информация о заметках и различных документах владельца учетной записи, данные о которых он вносил в LastPass.

1PASSWORD

Входящий в топ популярных менеджеров паролей, также использующий алгоритм шифрования AES-256, 1Password насчитывает более 15 млн пользователей и 100 тыс. компаний в числе клиентов. Приложение предлагает использование специального секретного ключа для доступа к учетной записи, который хранится на сервере компании в зашифрованном виде.

При помощи инструментов «Мобильного Криминалиста» возможно извлечь и изучить такие данные приложения, как полное имя владельца учетной записи, его адрес электронной почты, время создания учетной записи и последнего использования приложения, название группы владельца, тип аккаунта, и получить тот самый секретный ключ.

iCLOUD KEYCHAIN

Apple-устройства оснащены функцией «Связка ключей» (iCloud Keychain), которая сохраняет пароли и другую информацию для синхронизации между различными устройствами и удобного входа в учетные записи. Секретное хранилище защищено при помощи сквозного шифрования, а также дополнительного ключа в связке с паролем, известным только владельцу учетной записи.

«Мобильный Криминалист» предлагает несколько способов получения информации из хранилища Keychain. Во-первых, при извлечении данных из облачного сервиса iCloud Keychain эксперт может получить информацию о владельце аккаунта, доверенных устройствах, имена пользователей, пароли, токены и другие данные, которые используются iOS, встроенными и сторонними приложениями.

Во-вторых, извлечение данных из хранилища Keychain возможно произвести при помощи инструмента «Мастер Извлечения Данных», а точнее методов «iOS-Агент», «iOS с использованием checkm8» и «iOS по SSH». В настоящее время поддерживается широкий ряд моделей и версий iOS Apple-устройств, и с каждым обновлением «МК» список расширяется.

ANDROID KEYSTORE

Специализированное хранилище секретных данных Android-устройств содержит в себе ключи, которые необходимы для расшифровки данных приложений. Разработчики могут использовать криптографические ключи, хранящиеся в Keystore, например, для шифрования базы данных с историей общения владельца устройства. Keystore не хранит непосредственно пароли и токены, однако может быть необходимым для доступа к информации.

С помощью инструмента «Мастер Извлечения Данных» ПО «Мобильный Криминалист» извлечение и расшифровывание аппаратных ключей предусмотрено для многих моделей Android-устройств и чипсетов различных вендоров (Unisoc, Qualcomm и др.), что открывает доступ к зашифрованной информации из приложений Signal, Silent Phone и Proton Mail, включая текст переписок владельца учетной записи, сведения о звонках и другие данные.

Недавно в «МК» была добавлена возможность подбора пароля при использовании ключей из Android Keystore для приложения Briar, что позволит эксперту изучить информацию об учетной записи владельца аккаунта, его контакты, а также текст групповых и приватных переписок в мессенджере.

БРАУЗЕРЫ

В декабре 2021 года была прекращена поддержка отдельного сервиса по хранению паролей Firefox Lockwise, и его функционал был интегрирован в браузер Firefox. Практически все браузеры на сегодняшний день предлагают пользователям функцию сохранения паролей, а также возможность автозаполнения форм авторизации. Для наших программных решений это не является препятствием, ведь продукты «Мобильного Криминалиста» поддерживают извлечение данных из самых популярных браузеров и в том числе раскрывают пароли учетных записей. Например, в ходе изучения зашифрованных данных цифровых улик можно получить из облака или мобильных версий для iOS- или Android-устройств браузера Firefox такую информацию, как имя хоста, от которого сохранен пароль, имя пользователя учетной записи, сам пароль, время его создания и изменения, ссылка для отправки учетных данных и уникальный идентификатор полученного пароля.

Помимо Firefox, ПО «Мобильный Криминалист» поддерживает извлечение паролей от учетных записей пользователей и других браузеров, например, Vivaldi (Android), Microsoft Edge (Android, iOS), Google Chrome (Android, iOS). При помощи метода «Android-Агент» также доступно извлечение сохраненных логинов и паролей для браузера Samsung при условии, если они были сохранены в Samsung Pass, и Yandex Browser.

Нарушения безопасности личной информации встречаются все чаще, что вынуждает разработчиков предлагать продукты, отвечающие возрастающим требованиям надежности. Менеджеры паролей действительно являются одним из наиболее верных решений для хранения учетных данных, но ПО линейки «Мобильный Криминалист» объединяет эффективные инструменты, с помощью которых может быть раскрыта даже информация, спрятанная «за семью замками».

Согласно исследованиям Mediascope, аудитория пользователей продуктов компании сегодня составляет более 63 млн чел. в день и продолжает расти. Ведь ассортимент приложений Яндекса решает множество повседневных задач, таких как передвижение по городу, заказ продуктов и товаров, обмен сообщениями по электронной почте и многое другое.

Рассмотрим несколько самых востребованных сервисов Яндекса, из которых ПО линейки «Мобильный Криминалист» позволяет извлекать ценную для проведения криминалистических расследований информацию. Извлеченные данные помогут экспертам составить представление о пользователе, его привычках и образе жизни, а также получить доказательства с подтверждением его действий в тот или иной период времени.

Яндекс Почта

Кроссплатформенная бесплатная служба электронной почты, которая поддерживает работу с несколькими почтовыми аккаунтами одновременно, дополненная переводчиком и календарем. По данным Яндекс Радара, почтовыми ящиками Яндекс для личной и рабочей переписки пользуются более 18 млн пользователей в месяц, суммарно используя почту не менее 6 часов ежемесячно.

Программное обеспечение «Мобильный Криминалист» позволяет извлечь из этого приложения на iOS- и Android-устройствах такие данные, как информация об учетной записи пользователя, его контакты, папки и письма, вложения (для iOS) а также куки и кэш.

Для извлечения из облачного сервиса также доступна информация о владельце аккаунта, папках, письмах и вложениях электронной почты.

Яндекс Браузер

Второй по популярности браузер в России, согласно данным StatCounter. Каждый третий пользователь в стране использует именно Яндекс Браузер в качестве отправной точки для интернет-серфинга. Сервис сохраняет историю поиска, показывает наиболее часто посещаемые сайты, оснащен функцией инкогнито и поддерживает добавление нужных расширений. Браузер в режиме альфа предназначен для пользователей, которые могут отправлять обратную связь об ошибках и возникающих проблемах.

При извлечении физического образа смартфонов на Android для изучения будут доступны такие данные приложения, как учетная запись, история посещения веб-страниц, закладки, вкладки, загрузки, кредитные карты, пароли, информация об автозаполнении и избранном.

А получив полный файловый образ и секретное хранилище Keychain из iOS-устройств, эксперт сможет изучить учетную запись, логины, историю, закладки, самые посещаемые сайты, историю поиска, панель, данные веб-форм и кэш приложения.

Яндекс Такси

Сервис заказа такси в составе приложения Yandex Go с возможностью выбора и сравнения различных тарифов в зависимости от типа автомобиля и цели поездки, а также алгоритмом поиска попутчика, чтобы добраться выгоднее. Приложение автоматически определяет отправную точку пользователя и рассчитывает наиболее быстрый маршрут с учетом пробок, а оплата производится как наличным, так и безналичным способом с использованием сохраненных данных банковской карты.

Программное обеспечение «Мобильный Криминалист» позволяет извлечь из облачного сервиса этого приложения такую информацию, как данные учетной записи пользователя, история поездок, включая номер, модель и цвет машины, имя и телефонный номер водителя, выбранный тариф, адрес отправления и назначения, избранные места и данные банковской карты, используемой для оплаты.

Из приложения Яндекс Go на Android-устройствах возможно получить дополнительную информацию о поездке (например, причину отмены заказа), а также кэш и куки (для iOS).

Яндекс Карты

Приложение для удобного передвижения по городу, с помощью которого пользователь может отслеживать движение транспорта в режиме реального времени и выбрать оптимальный маршрут. Сервис оснащен функцией поиска мест и организаций и возможностью сохранять избранные точки и маршруты на карте. В настоящее время доступны карты более 2000 городов России и других стран с возможностью построения маршрутов на общественном транспорте для крупнейших городов России, Казахстана и Белоруссии.

При извлечении данных из приложения на Android-устройствах можно узнать информацию об учетной записи пользователя, проверить точки его интереса на карте города, папки, закладки, историю поиска и сохраненные адреса, а также избранные маршруты и остановки, дополненные кэшем.

Работая с извлечением данных из устройства на iOS, эксперт сможет изучить ту же информацию, а также куки и просмотренные владельцем аккаунта рекомендации и отзывы на те или иные места города.

Яндекс Диск

Популярное облако для хранения фото, видео и документов, предоставляющее 5 Гб всем пользователям бесплатно с возможностью автоматической загрузки файлов с телефона, поиска по загруженным файлам и создания ссылок для общего доступа. На платной основе свободное место в хранилище может быть увеличено до 3 Тб.

При использовании «Мобильного Криминалиста» станет возможным исследование облачного сервиса приложения и таких данных, как информация о владельце аккаунта, личные и расшаренные альбомы, папки и файлы, а также история и файлы в корзине, которые сохраняются в течение 30 дней после удаления.

А при извлечении из приложения на мобильном устройстве доступна информация о загрузках, файлах и локальных файлах, заметках, папках, альбомах, системном журнале, истории поиска, кэше (Android), а также логах и куки (iOS).

Яндекс Маркет

Маркетплейс для заказа различных категорий товаров, содержащий в каталоге более 49 млн наименований, и организации доставки курьером или самовывозом во все регионы России. По данным Яндекс Радара, площадку посещает более 14 млн пользователей ежемесячно.

Работая со смартфоном на платформах iOS и Android, эксперт сможет изучить информацию об учетной записи владельца аккаунта, его историю поиска, а также подробные данные о заказах: адрес магазина, ссылки на приобретенные товары, адрес, тип, стоимость и статус доставки, а также куки и кэш.

Яндекс

Самая востребованная поисковая система в России, по информации от Similarweb. Объединяет в себе функции поиска по тексту, голосовому запросу, фото или изображению через камеру, а также управления голосовым помощником, поиска товаров среди различных магазинов, переписки с другими пользователями в мессенджере и совершения звонков (перейдя в Яндекс Сообщения). Сервис дополнен возможностью перехода в остальные приложения от Яндекса, включая упомянутые выше Почту, Карты, Диск, Такси и другие.

Функционал ПО «Мобильный Криминалист» позволяет исследовать данные приложения для iOS, предоставляя информацию об учетной записи пользователя, обращениях к голосовому помощнику, истории поиска, куки и кэш.

Из приложения на Android можно извлечь ту же информацию, а также логины, сервисы на панели и историю последних посещений, данные автозаполнения, вкладки, информацию о кредитных картах, загрузки в облако Яндекс Диска, локальные события, контакты, информацию о чатах, сообщениях приватных и групповых переписок и звонках.

Практически в каждом смартфоне мы обнаружим какое-либо приложение от Яндекса, а скорее всего даже несколько. Это делает задачу исследования данных сервисов с использованием таких решений, как «Мобильный Криминалист», невероятно востребованной и не теряющей своей актуальности. Возможность извлечения подобных данных, включающих подробную информацию о владельце устройства, его передвижениях, коммуникациях и интересах, дополнит важными цифровыми уликами расследование инцидентов с участием преимущественно русскоязычной аудитории не только в России, но и за ее пределами.

В последнее время покупатели стали уделять гораздо больше внимания безопасности личных данных. И поэтому возможности устройства по защите информации стали одними из ключевых критериев выбора. Как мы уже неоднократно писали, наилучшую защиту данных пользователя обеспечивает технология шифрования. Сейчас технологией аппаратного шифрования данных оснащаются даже бюджетные модели смартфонов, а значит, ее поддержка реализована и в бюджетных мобильных процессорах.

Одним из таких бюджетных решений является линейка процессоров Spreadtrum, о которых мы и поговорим сегодня.

Spreadtrum или Unisoc — как правильно?

Прежде чем дать ответ на этот вопрос, немного углубимся в историю. Компания Spreadtrum начинала свою деятельность как производитель чипов для GSM-телефонов (2G). А с появлением на рынке 3G- и TD-SCDMA-технологий она стала заниматься последней и практически монополизировала китайский рынок. Но самое удивительное, что при этом лишь небольшая часть продукции Spreadtrum попадала на рынки других стран. Это были как раз различные чипы для смартфонов.

Такая политика компании принесла ей огромный успех, и уже в 2008 году большинство абонентов China Mobile пользовались телефонами, собранными на процессорах Spreadtrum. Можно без преувеличения сказать, что Spreadtrum превратилась в серьезного телекоммуникационного гиганта.

Сейчас корпорация Spreadtrum выпускает продукцию, соответствующую последним тенденциям рынка — с поддержкой сетей 4G и 5G. Здесь стоит также отметить, что Spreadtrum давно и продуктивно сотрудничает с другим гигантом, производящим процессоры для ПК, ноутбуков и других устройств, — компанией Intel. И это многолетнее партнерство привело к появлению чипсетов Spreadtrum, использующих ядра с архитектурой Intel Airmont (SC9861G-IA).

В 2018 году корпорацию Spreadtrum переименовали в Unisoc, и название всех производимых ей процессоров было дополнено. Поэтому не важно, исследуете ли вы смартфон на чипсете SC9832E или Unisoc SC9832E, — это один и тот же, давно знакомый, Spreadtrum с присущими только ему характеристиками.

Так что ответ на вопрос в начале раздела такой — оба варианта названия верны.

В каких устройствах используются процессоры Spreadtrum?

В первые годы освоения мобильного рынка процессоры компании в основном применялись в устройствах низшего и среднего ценового сегмента, продающихся на китайском рынке. Но ситуация серьезно изменилась в 2019 году после выхода на рынок процессора SC9863A. Именно эта модель чипсета стала настолько популярной, что производители мобильных телефонов выпустили на нем множество устройств. На чипсет обратили внимание такие известные мировые бренды, как Lenovo, LG, Nokia и Philips.

Можно без преувеличения сказать, что Unisoc смогла в 2019 году потеснить на рынке чипсетов компанию MediaTek. И это несмотря на то, что, по оценкам различных экспертов, процессор SC9863A был далеко не идеален. Многие критики обращали внимание на его недостатки и писали, что он серьезно уступает MediaTek Helio A22. Но невзирая на критику, новый процессор нашел свою нишу на рынке благодаря обширным возможностям и оптимальной цене.

В чем секрет успеха SC9863A?

Выпущенный в четвертом квартале 2019 года чипсет SC9863A был основан на архитектуре ARMv8.2-A и включал в себя восемь ядер ARM Cortex-A55, которые были разделены на два вычислительных кластера по четыре ядра в каждом. В одном кластере ядра работали на тактовой частоте 1,6 ГГц, а в другом — на 1,2 ГГц. А если говорить о ближайших конкурентах SC9863A, то в них использовались ядра на основе старой архитектуры, проигрывающие ARMv8.2-A не только по производительности, но и по уровню энергопотребления.

Отдельно стоит отметить и внушительные возможности графической подсистемы SC9863A. Она была реализована на высокопроизводительном графическом ускорителе IMG PowerVR GE8322 с тактовой частотой 550 MHz. Он позволял использовать в смартфонах экраны с разрешением Full HD+ (2160 × 1080 пикселей), а также осуществлять аппаратное декодирование видеопотоков в форматах H.263, H.264, H.265, VP8, VP9 и MPEG4.

Свою роль в развитии популярности нового процессора сыграла и аппаратная поддержка двойных камер в комбинации 16 Мп + 5 Мп в сочетании с аппаратной функцией Super Night View. Также в процессоре SC9863A была реализована функция оптического зуммирования, если в смартфоне использовались соответствующие модули камер.

Сейчас, после рассказа о функциях и возможностях SC9863A, давайте вернемся немного назад и поговорим о процессорах, которые выпускались до его появления, а также об их возможностях.

Назад в прошлое

В настоящее время на рынке можно встретить планшеты и смартфоны, собранные на базе следующих процессоров Spreadtrum (Unisoc): SC5735, SC6531, SC7715, SC7730SE, SC7730g, SC7731, SC7731g, SС8830, SC9830, SC9830A, SC9832 и SC9850. Кратко остановимся на наиболее популярных и знаковых из них.

Spreadtrum SC7730SE, SC7730a/s/g, SC7731, SC7731g

Весьма «урожайным» на новинки стал для компании 2015 год. Именно в этом году Spreadtrum выпустила на рынок сразу четыре модели чипсетов для мобильных устройств: SC7730SE, SC7730a/s/g, SC7731 и SC7731g. Всех их объединяет использование четырехъядерной архитектуры на базе Cortex A-7 и графического процессора Mali 400.

Но самое главное — это перевод компанией технологического процесса с устаревшего 40-нанометрового на современный — 28 нм. За счет новых технологических норм разработчики смогли повысить тактовую частоту, а также смонтировать GPS-контроллер на кристалле процессора.

В зависимости от модификации процессоры различаются по тактовой частоте ядер и некоторым другим функциям. Например, чипсет SC7730SE применялся в планшетах Samsung Galaxy Tab E 9.6 SM-T561N. Звучит невероятно, но данная модель планшета все еще встречается на вторичном рынке и пользуется спросом.

Spreadtrum SC9832

Spreadtrum SC9832 вышел на рынок во втором квартале 2016 года. В нем используются четыре вычислительных ядра ARM v7-A (32-bit), работающих на тактовой частоте 1,3 ГГц, в сочетании с GPU ARM Mali-400 MP2. Процессор может работать с ОЗУ LPDDR3 на частоте 533 MHz и поддерживает максимальный объем памяти в 2 Гб.

Встроенный графический ускоритель ARM Mali-400 MP2, работающий на тактовой частоте 512 МГц, поддерживает разрешение дисплея HD+.

Процессор ориентирован на установку в смартфоны и планшеты, предназначенные для работы в мобильных сетях связи 4G LTE Category-4, 3G UMTS и 2G GSM. Процессор Spreadtrum SC9832 оказался популярным среди производителей мобильных устройств. Заметим, что только на российском рынке было представлено примерно 80 моделей смартфонов и около 60 моделей планшетов на этом процессоре.

Spreadtrum SC9850 и SC9853I

Оба этих процессора компания Spreadtrum презентовала в августе 2017 года. Они предназначены для применения в LTE-смартфонах.

Младшая модель Spreadtrum SC9850 спроектирована для установки в бюджетные устройства. Она включает в себя четыре вычислительных ядра ARM Cortex-A7, работающих на тактовой частоте до 1,3 ГГц, и графический процессор ARM Mali-Т820, который выпускается по технологии 28 нм.

Главные особенности данной модели процессора — аппаратная поддержка двух камер с разрешением вплоть до 13 Мп, а также возможность работы с дисплеями, имеющими разрешение до 1440 х 720 пикселей.

Процессор Spreadtrum SC9853I ориентирован на применение в смартфонах высокого и среднего ценового сегмента. В отличие от SC9850, процессор SC9853I производится по технологии 14 нм и имеет 64-битовую архитектуру Intel Airmont. В нем используются восемь процессорных ядер с тактовой частотой до 1,8 ГГц. Spreadtrum SC9853I поддерживает дисплеи с разрешением вплоть до 2160 х 1080 точек и может работать с двумя 16-мегапиксельными камерами.

Попутно заметим, что в период с 2017 по 2019 год на базе чипсета Spreadtrum SC9850 было выпущено около 20 моделей устройств от различных вендоров.

Краткий итог

Теперь, после рассказа о том, какие процессоры компания Spreadtrum производила до появления SC9863A, мы хотели бы представить сводную таблицу с характеристиками основных чипсетов, произведенных в период с 2017 по 2019 год. Как видно из нее, многие процессоры не поддерживают современные поколения сотовой связи (4G и 5G) и являются четырехъядерными (помимо SC8963). Но при этом очень важно, что все они оснащены встроенной технологией аппаратного шифрования!

Как организована безопасность на чипсетах Unisoc?

Как мы уже отмечали, все процессоры Unisoc оснащены встроенной технологией шифрования данных. В зависимости от модели, это может быть технология программного или аппаратного шифрования. Еще одной ступенью защиты на пути получения доступа к данным является наличие в некоторых устройствах экрана блокировки.

Поддерживается ли извлечение и расшифровка данных из устройств на чипсетах Spreadtrum?

Как и процессоры от других производителей, чипсеты от Spreadtrum имеют в своей архитектуре ряд уязвимостей, позволяющих, несмотря на используемое программное или аппаратное шифрование, получить доступ к информации в устройствах. Используя эти уязвимости, наши специалисты создали несколько сценариев работы с ними в модуле «Мастер Извлечения Данных» программного обеспечения «Мобильный Криминалист».

Как это работает?

Сейчас в наших продуктах реализована новая схема подключения и извлечения физического образа из устройств на базе чипсетов Spreadtrum SC9850, SC9863, SC7731E и SC9832E. Она позволяет извлекать физический образ устройства без изменения таблицы разделов, что позволяет избежать проблем с невозможностью загрузки устройства по завершении извлечения.В данных чипсетах впервые для Spreadtrum-устройств реализовано аппаратное шифрование. В новой схеме реализовано извлечение аппаратных ключей для расшифровки снятого образа. Благодаря новому методу извлечения список поддерживаемых устройств удалось расширить до 28 моделей.

Также совсем недавно мы добавили поддержку Samsung, Honor, ZTE-устройств на чипсетах Unisoc T610, T618, T700 работающих под управлением ОС Android версии 10 и выше. Из этих устройств извлекается как физический̆ образ, так и аппаратные ключи шифрования необходимые для последующей̆ расшифровки данных.

Возможные сценарии извлечения

В зависимости от пользовательских настроек устройства, возможно три сценария работы:

1. Если устройство не зашифровано — подключение и извлечение физического образа.
2. Если устройство зашифровано, но режим безопасной загрузки не включен — получение временного root-доступа и извлечение расшифрованного раздела в обход экрана блокировки.
3. Если устройство зашифровано и режим безопасной загрузки включен — извлечение физического образа, извлечение hw-backed key и запуск автоматического подбора пароля экрана блокировки.

Какие данные можно получить?

Независимо от используемого сценария, результатом станет расшифрованный физический образ устройства, содержащий абсолютно все данные владельца смартфона:

• контакты;
• сообщения;
• звонки;
• медиафайлы;
• документы;
• данные о платежах и многое другое.

Как мы видим, чипсеты Spreadtrum достаточно часто используются производителями мобильных устройств, пусть и не самых дорогих, но вполне доступных.

И это не удивительно, ведь они дешевле своих аналогов, но, как и дорогие флагманы, поддерживают аппаратное шифрование, что соответствует условиям, которые диктует потребитель. Реализовав поддержку всего лишь четырех таких процессоров, команда «МКО Системы» сделала возможным извлечение данных из нескольких десятков новых моделей устройств, что является безусловным успехом в области работы с аппаратным шифрованием.