Czy FBI złamałoby zabezpieczenia Androida? Specjaliści sprawdzili słabości systemu Google

Pracownikom FBI udało się złamać zabezpieczenia iPhone'a 5c używanego przez terrorystę. Czy byłoby to możliwe, gdyby w grę wchodził smartfon z Androidem? Specjaliści z Uniwersytetu Stanowego w Karolinie Północnej spróbowali powtórzyć metody agentów na konkurencyjnym oprogramowaniu.

Dużo kontrowersji wzbudziło śledztwo w sprawie Syeda Rizwana Farooka, który w grudniu 2015 r. zamordował 14 osób w San Bernandino w Kalifornii. Śledczy zgłosili się do Apple z wnioskiem o zdjęcie zabezpieczeń iPhone'a 5c, którym posługiwał się terrorysta.

Agentom udało się zdobyć zawartość telefonu, dzięki zewnętrznej firmie. Chociaż proces miał przysłużyć się sprawiedliwości, użytkownicy sprzętów na iOS zaczęli zastanawiać się na ile bezpieczne są dane na ich urządzeniach. Użytkownicy Androida zaczęli się zastanawiać czy podobny proces można powtórzyć na ich sprzęcie. Tę drugą kwestię wyjaśnili autorzy testu opublikowanego na łamach „The Conservation”.

Jak tłumaczą celem było odtworzenie podejmowanych przez FBI działań, na telefonie z Androidem. Podczas pracy okazało się, że różnice w oprogramowaniu pozwalają m.in. zdalnie zaktualizować i zdjąć szyfrowanie, na co nie pozwalał iPhone.

Sposoby na obejście zabezpieczeń Androida

Informacje na telefonie szyfrowane są kluczem, który powstaje po połączeniu kodu blokady użytkownika i skomplikowanego ciągu liczb, odpowiadającemu danemu urządzeniu. Według "The Conversation" atak przeprowadzić można bezpośrednio na klucz - co jest bardzo trudne - lub na pozostałe zabezpieczenia. Autorzy testu zwracają jednak uwagę, że złamanie zabezpieczeń wcale nie musi wiązać się z łamaniem kodu. Wymieniają pięć sposobów na obejście zabezpieczeń:

1. Instalacja aplikacji na telefonie, która wydobywa informacje z urządzenia. W marcu 2011 roku Google zdalnie zainstalował program, który usuwa złośliwe oprogramowanie. Nie wiadomo jednak czy nowe wersje Androida pozwalają na podobne działania.

2. Wiele aplikacji korzysta z kopii zapasowych API. Dane dostępne są z poziomu zapisanego w internecie backupu.

3. Jeśli potrzebne informacje zapisano na karcie pamięci, mogą nie być zaszyfrowane. Tylko najnowsze wersje Androida pozwalają użytkownikom na zaszyfrowanie karty.

4. Niektóre z telefonów używają blokady skanem linii papilarnych. Pamiętając wiele filmów szpiegowskich, łatwo wyobrazić sobie łamanie zabezpieczeń kopią odcisku palca. Tak to możliwe.

5. Według autorów pracę hakerów znacznie ułatwia rootowanie smartfonów.

Jeżeli nic z tego nie wchodzi w grę, telefon nadal nie jest w pełni odporny na ataki hakerów. Na telefon, lub obraz jego zawartości przeprowadzić można atak brute force, opierający się na sukcesywnym sprawdzaniu wszystkich możliwych kombinacji, tak długo aż znajdzie się prawidłową. Atak offline wydaje się prostszy, ponieważ zakodowaną zawartość telefonu można przenieść na potężniejszy komputer. To jednak wymaga sprawdzenia każdego możliwego klucza, lub ustalenia hasła użytkownika i klucza urządzenia. W efekcie zajmie to absurdalnie dużo czasu.

Brute force nie wystarczy?

Podczas ataku online w grę wchodzi tylko zakres potencjalnych haseł. Telefon nie jest jednak bezbronny. Po kilkukrotnym wprowadzeniu błędnych danych, sprzęt może aktywować opóźnienia między kolejnymi próbami, lub po prostu skasować informacje (taką funkcje ma także iOS).

Podczas testu użyto włączonego smartfona Nexus 4 z Androidem 5.1.1. i pełnym szyfrowaniem i zablokowanym ekranem. Po pięciu błędnych próbach odblokowania ekranu Android zablokował możliwość wpisania kolejnego kodu na 30 sekund. W przeciwieństwie do iOS-a nie wydłużał blokad po kolejnych błędach.

iPhone z San Bernandino posiadał funkcje Mobile Device Management (MDM), która pozwala na zdalną obsługę urządzenia. Korzystając z dokumentacji Google, autorzy testu zaprogramowali własną aplikację MDM na Androida. Pozwoliło to na użycie nowego passcode'u podczas włączania urządzenia.

Podsumowując test, autorzy zauważają, że w przypadku ataku, wspomaganego przez producentów sprzętu, lub oprogramowania, Android daje większe możliwości niż iOS. Autentyczność softu przy instalacji jest potwierdzana specjalnym kodem. Dzięki niemu producent może stworzyć aktualizacje, umożliwiającą dostęp do zawartości. Autorzy dodają jednak, że najnowsze wersje iOS i Androida stosunkowo skutecznie chronią sprzęt przed atakami offline.

Źródło: Test przeprowadzili William Enck i Adwait Nadkarni z Uniwersytetu Stanowego w Karolinie Północnej. Wyniki opublikował "The Conversation".