Huawei Devices: Decryption and Extraction in Oxygen Forensic Detective
دستگاههای هواوی: رمزگشایی و استخراج در کارآگاه جرم یابی قانونی اکسیژن
استخراج فیزیکی از دستگاه های هوآوی روی چیپست های Kirin یکی از محبوب ترین روش های استخراج در راه حل های جرم یابی قانونی است. هوآوی بر اساس این خانواده پردازنده و همچنین با برند آنر گوشی های هوشمند تولید می کند. مدلهای هوآوی تمام سختافزارهای جدید را دریافت میکنند و عمدتاً در بخش برتر گوشیهای هوشمند اندرویدی قرار دارند. آنر یک برند در بازار انبوه است و با سخت افزار بسیار خوبی نیز تولید می شود.
در حالی که محبوبیت هوآوی را می توان بیشتر در بازار تلفن همراه چین مشاهده کرد، آنها همچنین در بیش از 170 کشور استفاده می شوند. سه ماهه دوم سال 2020 اولین بار بود که هوآوی به عنوان رهبر بازار از نظر کل گوشی های هوشمند عرضه شده ظاهر شد و فروشنده چینی گوشی های هوشمند، 20 درصد از بازار را به خود اختصاص داد.
Oxygen Forensic Detective از طیف گسترده ای از دستگاه های Huawei پشتیبانی می کند. در میان آنها، مدلهای محبوبی مانند Huawei P30 Pro و همچنین مدلهای پرفروش مانند Honor 9 و Honor 10 وجود دارد. قابلیت پشتیبانی نه بر اساس مدل دقیق دستگاه، بلکه بر اساس پردازنده و نسخه سیستمعامل تعیین میشود. (سیستمعامل اندروید با نسخه 9 و 10 پشتیبانی می شود.)
در حال حاضر، دادههای دستگاهها روی پردازندههای زیر قابل استخراج هستند:
- Kirin 659
- 710
- 710F
- 810
- 820
- 960
- 970
- 980
- 985
- 990
- 990 5G
در طول فرآیند استخراج، آسیب پذیری های موجود در سیستم عامل پردازنده مورد سوء استفاده قرار می گیرند. این بدان معناست که این آسیبپذیریها را نمیتوان با بهروزرسانی میانافزار برطرف کرد.
روش استخراج فعلی در Oxygen Forensic Detective حتی میتواند با بهروزرسانیهای نصبشده پس از آگاهی شرکت از آسیبپذیریها و اقداماتی برای اصلاح آنها استفاده شود. علاوه بر این، فرآیند اتصال دستگاه قبل از استخراج در سال 2021 پیشرفته تر شد.
رمزگذاری دستگاه هواوی
Huawei Device Encryption
طبیعتاً همه دستگاه های هوآوی از رمزگذاری حافظه استفاده می کنند. هوآوی یک طرح رمزگذاری مبتنی بر فایل (FBE) را با استفاده از کلیدهای سخت افزاری پیاده سازی می کند. علاوه بر رمزگذاری داده های استاندارد کاربر، بسیاری از دستگاه های هوآوی گزینه ای برای ایجاد یک فضای محافظت شده اضافی با عنوان PrivateSpace را ارائه می دهد که به همان روش داده های اصلی اما با مجموعه ای از کلیدهای جداگانه رمزگذاری می شود. مالک تلفن معمولاً از PrivateSpace استفاده می کند تا داده های حساس را در آنجا نگه دارد.
برای مدل های مختلف، سازنده از 4 طرح رمزگذاری مختلف استفاده می کند. این طرح ها به پردازنده های خاصی گره خورده اند و بر اساس مجموعه کلیدهای سخت افزاری مورد استفاده، متفاوت هستند.
با توجه به طرح رمزگذاری FBE، نتیجه نهایی استخراج، استخراج رمزگذاری شده فیزیکی کامل نیست. در عوض، این یک سیستم فایل کامل رمزگشایی شده است، که شامل داده های کاربر اصلی و PrivateSpace می شود، اگر مورد دوم توسط مالک فعال شده باشد.
توجه به این نکته مهم است که برای رمزگشایی موفقیت آمیز، رمز قفل تلفن لازم است.
Brute-force
اگر رمز عبور ناشناخته باشد، می توان آن را brute-forced کرد. سرعت brute-force به تاریخ بهروزرسانی امنیتی نصب شده روی تلفن بستگی دارد. در بیشتر موارد، brute-force را می توان به صورت آفلاین یا آنلاین انجام داد.
برای دستگاههایی که قبل از سال 2021 بهروزرسانی امنیتی دارند، اعمال فشار آفلاین با سرعت جستجوی حدود 250 رمز عبور در ثانیه در یک رایانه اداری متوسط امکانپذیر است. سرعت جستجو هنگام استفاده از رایانه ای با پردازنده گرافیکی قدرتمند به میزان قابل توجهی افزایش می یابد.
کامپیوترهایی با پردازنده گرافیکی قدرتمند:
در کامپیوترهایی که با پردازنده گرافیکی قدرتمند هستند یک یا دو دقیقه طول می کشد تا رمز عبور متداول تری متشکل از شش رقم شکسته شود. رمز عبور در مرحله واردات با کمک یک ماژول brute-force داخلی به صورت brute-force انجام می شود.
برای دستگاههایی که بهروزرسانیهای امنیتی قبل از ژوئیه 2021 دارند، فقط brute-force آنلاین امکانپذیر است، زیرا تنها زمانی میتوان یکی از کلیدها را دریافت کرد که رمز عبور مشخص باشد. رمز عبور در گوشی هوشمند متصل در مرحله استخراج کلید سخت افزاری توسط ماژول استخراج داده امتحان می شود و سرعت تست حدود 3 رمز عبور در ثانیه است. این به طور قابل توجهی روند brute-force رمز عبور را کند می کند، زیرا یافتن یک رمز عبور 6 رقمی تقریباً 8 ماه طول می کشد.
در دستگاههایی با بهروزرسانی جدیدتر، brute-force پشتیبانی نمیشود. رمز عبور باید در دستگاه غیرفعال شود تا مطمئن شوید که داده ها می توانند رمزگشایی شوند. اگر رمز عبور شناخته شده باشد و PrivateSpace فعال باشد، تا زمانی که PrivateSpace حذف نشود، رمز عبور غیرفعال نمی شود. این به معنای از دست دادن اطلاعات جزئی احتمالی است.