فناوری پردازش نوین اطلاعات خوارزمی فپنا
دوشنبه 8 خرداد 1402 02:45:11

قابلیت های نسخه جدید نرم افزار Oxygen Forensic Detectiveبه منظور استخراج Physical از تراشه kirin 820

Huawei Devices: Decryption and Extraction in Oxygen Forensic Detective

دستگاه‌های هواوی: رمزگشایی و استخراج در کارآگاه جرم یابی قانونی اکسیژن

استخراج فیزیکی از دستگاه های هوآوی روی چیپست های Kirin یکی از محبوب ترین روش های استخراج در راه حل های جرم یابی قانونی است. هوآوی بر اساس این خانواده پردازنده و همچنین با برند آنر گوشی های هوشمند تولید می کند. مدل‌های هوآوی تمام سخت‌افزارهای جدید را دریافت می‌کنند و عمدتاً در بخش برتر گوشی‌های هوشمند اندرویدی قرار دارند. آنر یک برند در بازار انبوه است و با سخت افزار بسیار خوبی نیز تولید می شود.

در حالی که محبوبیت هوآوی را می توان بیشتر در بازار تلفن همراه چین مشاهده کرد، آنها همچنین در بیش از 170 کشور استفاده می شوند. سه ماهه دوم سال 2020 اولین بار بود که هوآوی به عنوان رهبر بازار از نظر کل گوشی های هوشمند عرضه شده ظاهر شد و فروشنده چینی گوشی های هوشمند، 20 درصد از بازار را به خود اختصاص داد.

Oxygen Forensic Detective از طیف گسترده ای از دستگاه های Huawei پشتیبانی می کند. در میان آن‌ها، مدل‌های محبوبی مانند Huawei P30 Pro و همچنین مدل‌های پرفروش مانند Honor 9 و Honor 10 وجود دارد. قابلیت پشتیبانی نه بر اساس مدل دقیق دستگاه، بلکه بر اساس پردازنده و نسخه سیستم‌عامل تعیین می‌شود. (سیستم‌عامل اندروید با نسخه 9 و 10 پشتیبانی می شود.)

در حال حاضر، داده‌های دستگاه‌ها  روی پردازنده‌های زیر قابل استخراج هستند:

  • Kirin 659
  • 710
  • 710F
  • 810
  • 820
  • 960
  • 970
  • 980
  • 985
  • 990
  • 990 5G

در طول فرآیند استخراج، آسیب پذیری های موجود در سیستم عامل پردازنده مورد سوء استفاده قرار می گیرند. این بدان معناست که این آسیب‌پذیری‌ها را نمی‌توان با به‌روزرسانی میان‌افزار برطرف کرد.

روش استخراج فعلی در Oxygen Forensic Detective حتی می‌تواند با به‌روزرسانی‌های نصب‌شده پس از آگاهی شرکت از آسیب‌پذیری‌ها و اقداماتی برای اصلاح آنها استفاده شود. علاوه بر این، فرآیند اتصال دستگاه قبل از استخراج در سال 2021 پیشرفته تر شد.

رمزگذاری دستگاه هواوی

Huawei Device Encryption

طبیعتاً همه دستگاه های هوآوی از رمزگذاری حافظه استفاده می کنند. هوآوی یک طرح رمزگذاری مبتنی بر فایل (FBE)  را با استفاده از کلیدهای سخت افزاری پیاده سازی می کند. علاوه بر رمزگذاری داده های استاندارد کاربر، بسیاری از دستگاه های هوآوی گزینه ای برای ایجاد یک فضای محافظت شده اضافی با عنوان PrivateSpace را ارائه می دهد که به همان روش داده های اصلی اما با مجموعه ای از کلیدهای جداگانه رمزگذاری می شود. مالک تلفن معمولاً از PrivateSpace استفاده می کند تا داده های حساس را در آنجا نگه دارد.

برای مدل های مختلف، سازنده از 4 طرح رمزگذاری مختلف استفاده می کند. این طرح ها به پردازنده های خاصی گره خورده اند و بر اساس مجموعه کلیدهای سخت افزاری مورد استفاده، متفاوت هستند.

با توجه به طرح رمزگذاری  FBE، نتیجه نهایی استخراج، استخراج رمزگذاری شده فیزیکی کامل نیست. در عوض، این یک سیستم فایل کامل رمزگشایی شده است، که شامل داده های کاربر اصلی و PrivateSpace می شود، اگر مورد دوم توسط مالک فعال شده باشد.

توجه به این نکته مهم است که برای رمزگشایی موفقیت آمیز، رمز قفل تلفن لازم است.

Brute-force

اگر رمز عبور ناشناخته باشد، می توان آن را brute-forced کرد. سرعت brute-force به تاریخ به‌روزرسانی امنیتی نصب شده روی تلفن بستگی دارد. در بیشتر موارد،  brute-force را می توان به صورت آفلاین یا آنلاین انجام داد.

برای دستگاه‌هایی که قبل از سال 2021  به‌روزرسانی امنیتی دارند، اعمال فشار آفلاین با سرعت جستجوی حدود 250 رمز عبور در ثانیه در یک رایانه اداری متوسط ​​امکان‌پذیر است. سرعت جستجو هنگام استفاده از رایانه ای با پردازنده گرافیکی قدرتمند به میزان قابل توجهی افزایش می یابد.

کامپیوترهایی با پردازنده گرافیکی قدرتمند:

در کامپیوترهایی که با پردازنده گرافیکی قدرتمند هستند یک یا دو دقیقه طول می کشد تا رمز عبور متداول تری متشکل از شش رقم شکسته شود. رمز عبور در مرحله واردات با کمک یک ماژول brute-force داخلی به صورت brute-force انجام می شود.

برای دستگاه‌هایی که به‌روزرسانی‌های امنیتی قبل از ژوئیه 2021 دارند، فقط brute-force آنلاین امکان‌پذیر است، زیرا تنها زمانی می‌توان یکی از کلیدها را دریافت کرد که رمز عبور مشخص باشد. رمز عبور در گوشی هوشمند متصل در مرحله استخراج کلید سخت افزاری توسط ماژول استخراج داده امتحان می شود و سرعت تست حدود 3 رمز عبور در ثانیه است. این به طور قابل توجهی روند brute-force رمز عبور را کند می کند، زیرا یافتن یک رمز عبور 6 رقمی تقریباً 8 ماه طول می کشد.

در دستگاههایی با به‌روزرسانی جدیدتر، brute-force  پشتیبانی نمی‌شود. رمز عبور باید در دستگاه غیرفعال شود تا مطمئن شوید که داده ها می توانند رمزگشایی شوند. اگر رمز عبور شناخته شده باشد و PrivateSpace فعال باشد، تا زمانی که PrivateSpace حذف نشود، رمز عبور غیرفعال نمی شود. این به معنای از دست دادن اطلاعات جزئی احتمالی است.