Неотдавнашните разкрития за софтуера Cellebrite – инструмент за съдебна експертиза, използван за извличане на данни от смартфони – са пример за това колко лесно могат да бъдат използвани устройствата. Базираната в Сингапур фирма за киберсигурност Group-IB предупреди, че всеки потребител на смартфон е изложен на риск, независимо дали използва Apple iOS или Google Android.
Cellebrite Premium, инструмент, използван от правоприлагащите органи за извличане на данни от заключени смартфони, е в центъра на вниманието от февруари 2024 г. насам. Преди това ФБР го използва, за да разбие телефона на стрелеца срещу Доналд Тръмп за 40 минути.
Тази седмица доклад на Amnesty International разкри как сръбските власти са използвали този продукт, разработен от израелска компания, за незаконно проникване в устройствата на журналисти и активисти.
Това са само няколко примера, които илюстрират колко лесно могат да бъдат експлоатирани устройствата. Group-IB повдига спешен въпрос за прозрачността и безопасността на потребителите.
„Неотдавнашните констатации показват, че производителите на смартфони често омаловажават или прикриват уязвимостите в сигурността. Това оставя както физическите лица, така и фирмите изложени на рискове като нарушаване на сигурността на данните, кражба на самоличност и корпоративен шпионаж“, твърди фирмата в доклад.
Чувствителни инструменти за криминалистика показват, че почти всички съвременни смартфони са уязвими за извличане на данни след първото им отключване.
„Въпреки че по-старите устройства са особено уязвими, дори и най-новите модели далеч не са имунизирани. За съжаление, всички потребители на съвременни смартфони с операционни системи Apple iOS и Google Android са изложени на риск“, се казва в доклада на Group-IB.
Самите разработчици на инструменти за криминалистика изброяват функциите, на които са способни техните инструменти.
В списъците с промени за Cellebrite подробно са описани добавените възможности за грубо отключване на заключени iPhone-и с версии на iOS 12.5-17.2.1, както и поддръжката на серията Samsung Galaxy S24, включително моделите Qualcomm и Exynos.
Изтеклите по-рано матрици за поддръжка включваха дори новите модели смартфони, включително серията Pixel 8 и серията iPhone 15. Производителят уточни, че най-новите смартфони са уязвими след първото отключване.
Apple наскоро реагира и въведе нова функция за сигурност на iOS, която рестартира iPhone след 72 часа бездействие.
Друг инструмент за отключване и криминалистика на телефони, GrayKey, твърди, че може да получи частичен достъп до всеки iPhone с iOS 18 или по-стара версия. Според Group-IB обаче той изпитва затруднения с най-новите актуализации на iOS. Инструментът посочва всички устройства Google Pixel като уязвими след първото отключване.
„По-старите устройства, като iPhone X и тези преди него, са широко отворени и могат лесно да бъдат експлоатирани“, казват изследователите от Group-IB.
„Въпреки усъвършенстваното криптиране, съвременните устройства не са имунизирани – всъщност настоящите устройства остават уязвими, особено в режим AFU (след първото отключване).“
Други неупълномощени лица все по-често използват инструменти за джейлбрейкване и размяна на файлове, за да използват откраднати или изгубени смартфони. Тези инструменти позволяват на нападателите да получат достъп до системните файлове и да ги заменят с манипулирани данни.
Друг метод за заобикаляне на блокировката за активиране включва неоторизирани страни, които използват фалшиви отговори, привидно от сървъри на Apple, или подменят резервни файлове, за да заобиколят функции като „Find My iPhone“ и „Activation Lock“.
„Дори най-сигурните смартфони могат да бъдат използвани при кражба или загуба“, предупреждават изследователите.
Много атаки са насочени към уязвимости в буутлоудърите или USB портовете по време на активна употреба.
Group-IB сподели ценова листа в щатски долари за отключване на различни устройства на Apple на нелегалния пазар.
„Тези заобикаляния често са временни и продължават само до нулиране или актуализиране на фърмуера. Въпреки това те осигуряват достатъчно време на нападателите да препродават откраднатите устройства като напълно функциониращи смартфони“, казват изследователите.
Въпреки че смартфоните могат да бъдат лесно компрометирани, изследователите повдигат и друг въпрос – може ли да се вярва на устройствата като доказателство, ако целостта на данните вече не може да бъде гарантирана? Информацията може лесно да бъде подхвърлена или променена.
Cellebrite и други инструменти потенциално оставят потребителите на смартфони изложени на рискове, включително нарушаване на сигурността на данните, кражба на самоличност, подправяне на доказателства или дори корпоративен шпионаж.
Group-IB препоръчва на потребителите на iOS да активират режим на заключване, тъй като той ограничава възможностите за използване и обновява хардуера на смартфона толкова често, колкото е наличен.
Потребителите на Android трябва да използват защитени модели като Google Pixel 8 и по-нови смартфони с активиран MTE (Memory Tagging Extension).
„Опитните потребители биха могли да обмислят персонализирана операционна система, която преобразува AFU в BFU (преди първото отключване) и да не забравят да заключат буутлоудъра“, заявиха от Group-IB.
„Използвайте смартфони Huawei с HarmonyOS за китайския пазар.“
Производителите трябва да повишат хардуерната сигурност, като позволят пълно изключване на порта на смартфона в заключен режим (само за зареждане), което защитава хардуера на порта и прекъсва всякакъв трансфер на данни.
Group-IB препоръчва също така да се последва примерът на Apple, като се въведе възможност за превключване на смартфона в режим BFU (преди първото отключване) след още по-кратки периоди на неактивност.
„Укрепване на буутлоудърите: Идентифицирайте и отстранете проблемите с уязвимостите в буутлоудърите и осигурете докладването на тези уязвимости. Някои по-стари смартфони могат да бъдат компрометирани чрез грубо хакване на паролата (оттук и препоръката за минимална дължина на паролата)“, отбеляза Group-IB.
Необходими са подобрения за биометричната сигурност и системите против кражба, които позволяват временно заобикаляне.
Базова информация и илюстрации: Group-IB
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
