Мобильная криминалистика: утечка GrayKey, режимы AFU/BFU и многое другое

[Axiopoinos]

У каждого из нас в кармане смартфон — маленький сейф с переписками, фото, заметками, кошельками, логами и т.п.. Иногда там скрыто такое, за что при неблагоприятном раскладе можно и за решётку угодить. И вот, когда правоохранителям нужно получить доступ к содержимому вашего смартфона, начинается мобильная криминалистика: к делу подключают специализированные комплексы — от известных западных вроде GrayKey и Cellebrite UFED до решений, которые продают у нас: Elcomsoft, Meiya Pico, «Мобильный Криминалист». Сегодня я бы хотел сконцентрироваться на первом, так как мы обладаем довольно скудным набором данных...

GrayKey — это коммерческий криминалистический комплекс от Grayshift (ныне в составе Magnet Forensics), который правоохранители используют для извлечения данных с мобильных устройств, прежде всего iPhone. Он представляет собой целую специализированную коробку с ПО, которая при физическом доступе к телефону и законных основаниях пытается получить полный или частичный доступ к файловой системе и артефактам приложений.

Об этом комплексе уже говорили старожилы на форуме:​

Mr-Green — Про вскрытие Айфонов для Правоохранительных Органов
DaVinci — Разработчики устройства GrayKey обещают, что оно способно взломать любой iPhone

---

Утечка данных GrayShift​

В ноябре 2024-го 404 Media опубликовало расследование об утечке внутренних документов Grayshift: в нём разобраны таблицы совместимости GrayKey, где по моделям и версиям ОС помечены уровни доступа (Full, Partial, Consent, None) и оговорки про режимы AFU/BFU; ключевой вывод на тот момент — для iPhone на iOS 18/18.0.1 инструмент в большинстве случаев даёт лишь частичное извлечение, а бета iOS 18.1 вовсе блокировала доступ.

А ещё утечка включала полноценную таблицу по Android: сотни моделей Samsung, Pixel, Xiaomi/Redmi, Oppo/OnePlus и др. Там хорошо видно, что результат сильно зависит от прошивки и патчей безопасности: одно и то же устройство в разные месяцы может «переехать» из Full в Partial или вовсе в None, особенно после крупных обновлений и включённых защит вроде Knox.
— Таблица GrayKey по iPhone устройствам​

— Таблица GrayKey по Android устройствам

В таблице все устройства помечены следующим образом:

• Зелёный — Full / Full + AFU. Полный съём данных (снимок файловой системы, широкий набор артефактов). Пометка Full + AFU означает: такой объём возможен только если телефон уже хотя бы раз разблокировали после включения (в BFU это не работает).
• Синий — Partial AFU. Частичный доступ и тоже лишь в AFU: извлекаются отдельные каталоги/базы (медиа, некоторые журналы и данные приложений), но не вся файловая система.
• Жёлтый — Consent. Доступ возможен только при согласии владельца — фактически съём после ввода кода/подтверждения подключения, но кто в здравом уме станет давать согласие и будут ли его вообще спрашивать...
• Красный — None. Поддержки нет: извлечение не производится (кроме, возможно, минимальных системных сведений).

Важно понимать: эти статусы всегда привязаны к конкретной модели и версии ОС.

Там представленны данные до ноября 2024 года: да, с тех пор многое успело измениться патчами iOS/Android, но общий паттерн виден — универсального ключа для взлома всех устройств по-прежнему нет, критичен режим AFU (после первого разблокирования), а перезагрузка уводит устройство в BFU (до первого ввода кода) и резко обрезает доступ; но статус зависит ещё и от чипсета/прошивки и защит производителя.​

Немного о состояних разблокировки:

• BFU (Before First Unlock) — телефон только что включили/перезагрузили, пользователь ещё ни разу не ввёл код-пароль. Большинство ключей для пользовательских данных остаются «завёрнутыми» (защищены аппаратным ключом + вашим кодом), поэтому доступ к данным минимальный. Среди получаемых данных: идентификаторы устройства, версия ОС, немного системных метаданных/логов. Большинство пользовательских данных и ключchain/keystore недоступны.
• AFU (After First Unlock) — пользователь хотя бы один раз ввёл код и разблокировал устройство после включения. С этого момента часть ключей «распаковывается» и держится в безопасной памяти, поэтому даже когда экран снова заблокирован, значительная часть данных остаётся доступной для системы (и, увы, для криминалистических инструментов), пока телефон не будет полностью перезагружён, потому правоохранители могут получить доступ к полной файловой системе/артефакам приложений либо к выбранным базам устройства, в зависимости от уровня доступа.

Так что порой можно быстро перезагрузить устройство и перевести его в состояние BFU (Before First Unlock): ключи, которые в AFU хранятся в защищённой памяти, удаляются, и доступ к большинству пользовательских данных блокируется, пока вы сами не введёт код-пароль.

---

Использование МК-комплексов правоохранителями​

Достоверных подтверждений, что правоохранительные органы стран СНГ (в широком смысле) официально используют именно GrayKey, нет. У поставщика и его партнёров есть присутствие в регионе, но продажи сильно зависят от экспортных ограничений и внутренней проверки клиентов. США ввели жёсткие экспортные ограничения в отношении России и Беларуси: экспорт/реэкспорт американских товаров ПОТРЕБУЕТ лицензии и в подавляющем большинстве случаев запрещён, так что легальные поставки GrayKey туда фактически исключены. Такая же ситуация с Cellebrite UFED / Physical Analyzer, ведь компания официально прекратила продажи в РФ и РБ, судя по заявлению в 2021 году.
​

Однако в РФ и РБ есть свои аналоги, вполне вероятно, использующие те же самые уязвимости:​

• Elcomsoft (EIFT/EMFB/Phone Breaker) — инструменты для извлечения и расшифровки резервных копий, облачных данных Apple/Google, работы с ключами и паролями; по iOS опираются на джейлбрейк/эксплойты (включая checkm8 на совместимых моделях).
• Китайские комплексы (Meiya Pico и др.) — линейки «mobile forensics» с аппаратно-программными станциями; у вендора есть русскоязычный сайт и упоминания о партнёрствах/дистрибуции в России.
• «Мобильный Криминалист» (МКО Системы) — российский комплекс для извлечения/анализа данных с телефонов, ПК и облаков; производитель регулярно заявляет о поддержке новых эксплойтов/методов для iOS/Android.

Спойлер: Немного юмора

В стандратный комплект криминалиста от МКО Системс входит некая извращённая вариация терморектального криптоанализатора:

---

Если в наших странах такие решения не так заметны и применяются точечно, то в ЕС мобильная криминалистика — рутинная практика: соответствующие комплексы стоят у большинства подразделений и активно используются.Абсолютно неуязвимых смартфонов нет, к каждому как-то да можно докопаться, поэтому не забывайте про базовую гигиену безопасности — своевременно обновляйте устройства и приложения, используйте длинный буквенно-цифровой пароль, не пользуйтесь биометрией и т.п. и т.д...

​