Кафедра безопасности | Блог rubus | Тема 8

[rubus]

Тема: Как извлекают данные из "второго пространства" на смартфонах? Обзор методов и оборудования

Привет, коллеги. rubus снова здесь.

Сегодня поговорим о том, как эксперты извлекают данные из скрытых профилей, дублирующих приложений и защищённых папок на смартфонах.
Если вы используете Secure Folder, Parallel Space или Dual Apps — эта информация особенно важна.

Почему это важно?

Потому что:
- Многие считают такие разделы безопасными.
- На самом деле, профессиональные инструменты могут их прочитать.
- Знание рисков помогает правильно подготовить устройство.

---

## Что такое "второе пространство"?

Под этим понимается:
- Скрытые пользовательские профили (Android Multi-User)
- Защищённые папки (Secure Folder, PrivateSpace)
- Клонированные приложения (Parallel Space, Shelter, 2Accounts)
- Вручную созданные разделы (например, через Magisk или custom ROM)

Доступ к таким данным может быть ограничен паролем или шифрованием, но не всегда надёжно.

---

## Какое оборудование используют для извлечения данных?

Cellebrite UFED Touch 2 / 4PC
➤ Извлекает логические данные через USB.
➤ Может обнаружить клонированные приложения.
➤ Не взламывает современное шифрование без дополнительного доступа.

Cellebrite Premium / Advanced Services (CAS)
➤ Использует 0-day уязвимости.
➤ Может получить доступ к Knox, Secure Folder и другим защищённым зонам.
➤ Применяется, если стандартный метод не работает.

GrayKey (для iPhone)
➤ Взламывает пароли и извлекает данные с iOS-устройств.
➤ Эффективен до активации режима Ultra Secure (стирает данные после 10 попыток).

JTAG / Chip-Off (аппаратный метод)
➤ Чтение напрямую с чипа памяти.
➤ Полезно, если телефон повреждён или не включается.
➤ Но бесполезно, если память зашифрована аппаратно.

Oxygen Forensic Detective
➤ Хорошо работает с Parallel Space, 2Accounts и другими "скрытыми" приложениями.
➤ Поддерживает анализ резервных копий и временных файлов.

---

## Можно ли защитить данные от извлечения?

Да, можно:
- Используйте аппаратное шифрование (Samsung Knox, Apple Secure Enclave).
- Активируйте BFU-режим (Before First Unlock) — данные недоступны до первого ввода пароля.
- Шифруйте хранилище (FBE + hardware encryption).
- Отключите USB-отладку и разблокировку загрузчика.

Но не стоит рассчитывать на:
- Простые PIN-коды и графические ключи (их легко перебрать).
- Скрытие файлов без шифрования (JTAG всё равно найдёт данные).
- Клонированные приложения без защиты (эксперт получит всё, что там есть).

---

## Что происходит, если телефон уже разблокирован?

Тогда даже самый защищённый раздел становится уязвимым.
В таких случаях эксперты могут:
- Сделать полный дамп системы.
- Извлечь данные из памяти.
- Получить доступ к защищённым контейнерам.

Поэтому:
- Не оставляйте телефон без присмотра.
- Используйте автоматическое удаление данных при подозрительном запуске.
- Разделяйте контексты: одно устройство — одна задача.

---

## Вывод

"Второе пространство" — не гарантия безопасности.
Оно помогает от случайного просмотра, но не от эксперта с правильным оборудованием.

Если вы работаете с чувствительной информацией:
- Не храните её локально.
- Используйте шифрование.
- Учитывайте, что любой смартфон может быть взломан при физическом доступе.

Если интересно — могу подготовить:
- Инструкцию по защите от JTAG-чтения
- Скрипт автоматического удаления данных при подозрительном подключении
- Гайд по использованию Secure Folder с максимальной защитой

— rubus

 

[rubus]

Как защитить смартфон от физического извлечения данных (JTAG, Chip-off, Cellebrite и др.)

Привет, коллеги. rubus снова здесь.

Сегодня поговорим о том, как защитить данные на смартфоне, если устройство попало к эксперту с профессиональным оборудованием: JTAG, Chip-off, Cellebrite, GrayKey и другие инструменты.

Зачем это нужно?

Потому что:
- Современные методы позволяют извлекать данные даже из защищённых разделов.
- Если у вас есть доступ к телефону — можно получить почти всё.
- Понимание угроз помогает правильно подготовить устройство.

---

## Что работает против физического извлечения?

1. **Аппаратное шифрование (Full Disk Encryption)**
➤ Используется в iPhone (Secure Enclave) и новых Android (Samsung Knox, Pixel).
➤ Даже при физическом чтении памяти — данные будут зашифрованы.

2. **BFU-режим (Before First Unlock)**
➤ На iPhone и некоторых Android устройствах данные недоступны до первого ввода пароля.
➤ Это делает невозможным извлечение без знания кода.

3. **Шифрование отдельных файлов перед сохранением**
➤ Например, фото или заметки шифруются сразу через VeraCrypt-контейнер или аналоги.
➤ Даже если эксперт получит доступ — он не сможет их расшифровать без ключа.

4. **Физическое разрушение носителя**
➤ В крайних случаях можно использовать "самоуничтожение" устройства.
➤ Пример: скрытый триггер, запускающий форматирование при определённом SMS или комбинации.

---

## Что не спасёт?

1. **Обычный PIN или графический ключ**
➤ Легко обходятся брутфорсом или через JTAG.

2. **Скрытые файлы или папки**
➤ Физическое извлечение покажет всё содержимое памяти.

3. **Клонированные приложения без шифрования**
➤ Parallel Space, Shelter и т.д. — хранят данные в открытом виде.

4. **Резервные копии в облаке**
➤ Эксперт может запросить доступ через суд или взлом аккаунта.

---

## Практические советы

1. **Используйте отдельное устройство для разных задач**
➤ Один телефон — одна цель. Не смешивайте контексты.

2. **Не включайте устройство в чужих руках**
➤ Как только вы его разблокируете — BFU-защита снимается.
➤ После этого эксперты могут получить доступ ко всем данным.

3. **Настройте удалённое удаление данных**
➤ Через Termux + скрипт, который стирает важные файлы при подозрительной активности.

4. **Избегайте root / jailbreak, если нет контроля над ним**
➤ Root-доступ может помочь эксперту быстрее извлечь данные.

5. **Не используйте один и тот же пароль дважды**
➤ Если один профиль будет взломан — остальные остаются в безопасности.

---

##
Пример скрипта для Termux (автоудаление при подозрительном подключении)

#!/system/bin/sh

LOG="/data/local/tmp/usb.log"
USB_BLOCKED=0

# 1. Блокируем USB при обнаружении
if dmesg | grep -q "usb connected"; then
    echo "[!] USB подключен. Блокировка..." >> $LOG
    echo 0 > /sys/class/android_usb/android0/enable
    USB_BLOCKED=1
fi

# 2. Очистка данных (если USB успели заблокировать)
if [ "$USB_BLOCKED" -eq 1 ]; then
    echo "[+] Очистка данных..." >> $LOG
    rm -rf /sdcard/Download/*
    rm -rf /sdcard/DCIM/Camera/*
    pm clear org.telegram.messenger >> $LOG
fi

exit 0

Как использовать:
1. Установите Termux (через F-Droid)
2. Скопируйте скрипт в `/data/local/tmp/`
3. Запустите его в фоне
4. При подключении к USB — удаляются указанные папки

Для более продвинутых: можно добавить отправку сигнала в Telegram или запись лога.

---

## Вывод

Если вы работаете с чувствительными данными — смартфон нельзя считать безопасным.
Но при правильной настройке вы можете сделать его **практически бесполезным** для эксперта.

Главные правила:
- Не включайте устройство без контроля над ним
- Шифруйте данные до записи
- Разделяйте контексты
- Используйте самоуничтожение при подозрительном доступе

Если интересно — могу подготовить:
- Готовую версию скрипта под Android 11+
- Инструкцию по настройке автоматической очистки через Tasker
- Гайд по работе с Secure Folder с максимальной защитой


— rubus

 

[rubus]

Как защитить данные на Android от извлечения (аналог Secure Folder + BFU + шифрование)

Включите полное шифрование:
- Настройки → Безопасность → Шифрование
- На Android 10+ включено по умолчанию
- На старых: "Зашифровать телефон" (требует зарядки)

Активируйте BFU-режим:
- Установите сложный пароль (не PIN!)
- Отключите Smart Lock
- После перезагрузки данные недоступны до ввода пароля

Используйте защищённые пространства:
• Samsung: Secure Folder
• Huawei: PrivateSpace
• Xiaomi: Second Space
• Для любых Android: Shelter (F-Droid)

Отключите опасные функции:
- Настройки → Для разработчиков:
✖ Отладка по USB
✖ OEM-разблокировка
- Дополнительно: "Запретить доступ через USB"

Доп. защита:
- Signal/WhatsApp: блокировка в приложении
- Автоудаление после 10 неверных попыток
- Регулярные перезагрузки

Итог:
- Данные зашифрованы на уровне системы
- Без пароля недоступны даже спец. инструментам
- Двойная защита через изолированные пространства