Onionproject.org

У каждого из нас в кармане смартфон — маленький сейф с переписками, фото, заметками, кошельками, логами и т.п.. Иногда там скрыто такое, за что при неблагоприятном раскладе можно и за решётку угодить. И вот, когда правоохранителям нужно получить доступ к содержимому вашего смартфона, начинается мобильная криминалистика: к делу подключают специализированные комплексы — от известных западных вроде GrayKey и Cellebrite UFED до решений, которые продают у нас: Elcomsoft, Meiya Pico, «Мобильный Криминалист». Сегодня я бы хотел сконцентрироваться на первом, так как мы обладаем довольно скудным набором данных...

GrayKey — это коммерческий криминалистический комплекс от Grayshift (ныне в составе Magnet Forensics), который правоохранители используют для извлечения данных с мобильных устройств, прежде всего iPhone. Он представляет собой целую специализированную коробку с ПО, которая при физическом доступе к телефону и законных основаниях пытается получить полный или частичный доступ к файловой системе и артефактам приложений.


В ноябре 2024-го 404 Media опубликовало расследование об утечке внутренних документов Grayshift: в нём разобраны таблицы совместимости GrayKey, где по моделям и версиям ОС помечены уровни доступа (Full, Partial, Consent, None) и оговорки про режимы AFU/BFU; ключевой вывод на тот момент — для iPhone на iOS 18/18.0.1 инструмент в большинстве случаев даёт лишь частичное извлечение, а бета iOS 18.1 вовсе блокировала доступ.

А ещё утечка включала полноценную таблицу по Android: сотни моделей Samsung, Pixel, Xiaomi/Redmi, Oppo/OnePlus и др. Там хорошо видно, что результат сильно зависит от прошивки и патчей безопасности: одно и то же устройство в разные месяцы может «переехать» из Full в Partial или вовсе в None, особенно после крупных обновлений и включённых защит вроде Knox.

— Таблица GrayKey по iPhone устройствам​
— Таблица GrayKey по Android устройствам Там представленны данные до ноября 2024 года: да, с тех пор многое успело измениться патчами iOS/Android, но общий паттерн виден — универсального ключа для взлома всех устройств по-прежнему нет, критичен режим AFU (после первого разблокирования), а перезагрузка уводит устройство в BFU (до первого ввода кода) и резко обрезает доступ; но статус зависит ещё и от чипсета/прошивки и защит производителя.​

Немного о состояних разблокировки:
BFU (Before First Unlock) — телефон только что включили/перезагрузили, пользователь ещё ни разу не ввёл код-пароль. Большинство ключей для пользовательских данных остаются «завёрнутыми» (защищены аппаратным ключом + вашим кодом), поэтому доступ к данным минимальный. Среди получаемых данных: идентификаторы устройства, версия ОС, немного системных метаданных/логов. Большинство пользовательских данных и ключchain/keystore недоступны.
AFU (After First Unlock) — пользователь хотя бы один раз ввёл код и разблокировал устройство после включения. С этого момента часть ключей «распаковывается» и держится в безопасной памяти, поэтому даже когда экран снова заблокирован, значительная часть данных остаётся доступной для системы (и, увы, для криминалистических инструментов), пока телефон не будет полностью перезагружён, потому правоохранители могут получить доступ к полной файловой системе/артефакам приложений либо к выбранным базам устройства, в зависимости от уровня доступа.

Так что порой можно быстро перезагрузить устройство и перевести его в состояние BFU (Before First Unlock): ключи, которые в AFU хранятся в защищённой памяти, удаляются, и доступ к большинству пользовательских данных блокируется, пока вы сами не введёт код-пароль.


Достоверных подтверждений, что правоохранительные органы стран СНГ (в широком смысле) официально используют именно GrayKey, нет. У поставщика и его партнёров есть присутствие в регионе, но продажи сильно зависят от экспортных ограничений и внутренней проверки клиентов. США ввели жёсткие экспортные ограничения в отношении России и Беларуси: экспорт/реэкспорт американских товаров ПОТРЕБУЕТ лицензии и в подавляющем большинстве случаев запрещён, так что легальные поставки GrayKey туда фактически исключены. Такая же ситуация с Cellebrite UFED / Physical Analyzer, ведь компания официально прекратила продажи в РФ и РБ, судя по заявлению в 2021 году.

Однако в РФ и РБ есть свои аналоги, вполне вероятно, использующие те же самые уязвимости:​
Elcomsoft (EIFT/EMFB/Phone Breaker) — инструменты для извлечения и расшифровки резервных копий, облачных данных Apple/Google, работы с ключами и паролями; по iOS опираются на джейлбрейк/эксплойты (включая checkm8 на совместимых моделях).
Китайские комплексы (Meiya Pico и др.) — линейки «mobile forensics» с аппаратно-программными станциями; у вендора есть русскоязычный сайт и упоминания о партнёрствах/дистрибуции в России.
«Мобильный Криминалист» (МКО Системы) — российский комплекс для извлечения/анализа данных с телефонов, ПК и облаков; производитель регулярно заявляет о поддержке новых эксплойтов/методов для iOS/Android.
Если в наших странах такие решения не так заметны и применяются точечно, то в ЕС мобильная криминалистика — рутинная практика: соответствующие комплексы стоят у большинства подразделений и активно используются.Абсолютно неуязвимых смартфонов нет, к каждому как-то да можно докопаться, поэтому не забывайте про базовую гигиену безопасности — своевременно обновляйте устройства и приложения, используйте длинный буквенно-цифровой пароль, не пользуйтесь биометрией и т.п. и т.д...

Есть один самый верный способ узнать пароль от телефона!
Физическое воздействие на подозреваемого!!

NightMare13 писал(а): Есть один самый верный способ узнать пароль от телефона!
Физическое воздействие на подозреваемого!!

Один провод на яйцо, второй на ухо, и даже давно забытый пароль вспоминается. К сожалению, проверено на личном опыте.

Статья оч интересная, спасибо автору.

Очень профессионально оформленно. Уже вторую вашу тему прочитал.

Крипторектальный анализ очень часто проще,дешевле и надёжнее.
Но специализированное ПО имеет место быть,спасибо автору,пиши ещё.

Обычно все подозреваемые сами выдают всю информацию под давлением правохранительных органов.
Правильно настроенный телефон с killer-паролем на grapheneos, выручит в трудный момент.

MotherFucker писал(а): Обычно все подозреваемые сами выдают всю информацию под давлением правохранительных органов.
Правильно настроенный телефон с killer-паролем на grapheneos, выручит в трудный момент.

если бы знать еще как это настроить)