TARANTINO OBNAL SERVICE №1 на рынке теневых услуг.
Депозит 1 млн.

✔️ Профессиональное сопровождение любых финансовых операций.
✔️ Россия, страны СНГ и Европы:

  • ➢ ФИЗ / ЮР лица
  • ➢ Мерчанты
  • ➢ ЭПС
  • ➢ Sim-карты
  • ➢ Работа с криптой по всему миру
  • ➢ Денежные переводы
ПЕРЕЙТИ К ТЕМЕ
Telegram: https://t.me/TJQ_DM_25
У форума есть зеркало в Тор http://darkmonn6oy55o7kgmwr4jny2gi2zj6hyalzcjgl444dvpalannl5jid.onion
Официальный канал Darkmoney в Телеграм https://t.me/+k1c69d6xQsswYzU0
NEW! 🔥 Чат Darkmoney в Телеграм https://t.me/+q40pcoHjSRVmNTE0

Мобильная криминалистика: утечка GrayKey, режимы AFU/BFU и многое другое

Axiopoinos

Axiopoinos

Раб Дракона
Депозит: 10,000 ₽
18.03.25
133
10,000 ₽
Чтобы видеть изображения, необходимо зарегистрироваться.

У каждого из нас в кармане смартфон — маленький сейф с переписками, фото, заметками, кошельками, логами и т.п.. Иногда там скрыто такое, за что при неблагоприятном раскладе можно и за решётку угодить. И вот, когда правоохранителям нужно получить доступ к содержимому вашего смартфона, начинается мобильная криминалистика: к делу подключают специализированные комплексы — от известных западных вроде
Чтобы видеть ссылки, необходимо зарегистрироваться.
и
Чтобы видеть ссылки, необходимо зарегистрироваться.
до решений, которые продают у нас:
Чтобы видеть ссылки, необходимо зарегистрироваться.
,
Чтобы видеть ссылки, необходимо зарегистрироваться.
,
Чтобы видеть ссылки, необходимо зарегистрироваться.
Сегодня я бы хотел сконцентрироваться на первом, так как мы обладаем довольно скудным набором данных...


Чтобы видеть изображения, необходимо зарегистрироваться.
GrayKey — это коммерческий криминалистический комплекс от Grayshift (ныне в составе Magnet Forensics), который правоохранители используют для извлечения данных с мобильных устройств, прежде всего iPhone. Он представляет собой целую специализированную коробку с ПО, которая при физическом доступе к телефону и законных основаниях пытается получить полный или частичный доступ к файловой системе и артефактам приложений.

Об этом комплексе уже говорили старожилы на форуме:
Чтобы видеть ссылки, необходимо зарегистрироваться.
Чтобы видеть ссылки, необходимо зарегистрироваться.

Чтобы видеть ссылки, необходимо зарегистрироваться.
Чтобы видеть ссылки, необходимо зарегистрироваться.
Чтобы видеть ссылки, необходимо зарегистрироваться.

Утечка данных GrayShift
Чтобы видеть изображения, необходимо зарегистрироваться.
В ноябре 2024-го
Чтобы видеть ссылки, необходимо зарегистрироваться.
: в нём разобраны таблицы совместимости GrayKey, где по моделям и версиям ОС помечены уровни доступа (Full, Partial, Consent, None) и оговорки про режимы AFU/BFU; ключевой вывод на тот момент — для iPhone на iOS 18/18.0.1 инструмент в большинстве случаев даёт лишь частичное извлечение, а бета iOS 18.1 вовсе блокировала доступ.

А ещё утечка включала полноценную таблицу по Android: сотни моделей Samsung, Pixel, Xiaomi/Redmi, Oppo/OnePlus и др. Там хорошо видно, что результат сильно зависит от прошивки и патчей безопасности: одно и то же устройство в разные месяцы может «переехать» из Full в Partial или вовсе в None, особенно после крупных обновлений и включённых защит вроде Knox.
Чтобы видеть ссылки, необходимо зарегистрироваться.
Чтобы видеть ссылки, необходимо зарегистрироваться.

В таблице все устройства помечены следующим образом:
  • Зелёный — Full / Full + AFU. Полный съём данных (снимок файловой системы, широкий набор артефактов). Пометка Full + AFU означает: такой объём возможен только если телефон уже хотя бы раз разблокировали после включения (в BFU это не работает).
  • Синий — Partial AFU. Частичный доступ и тоже лишь в AFU: извлекаются отдельные каталоги/базы (медиа, некоторые журналы и данные приложений), но не вся файловая система.
  • Жёлтый — Consent. Доступ возможен только при согласии владельца — фактически съём после ввода кода/подтверждения подключения, но кто в здравом уме станет давать согласие и будут ли его вообще спрашивать...
  • Красный — None. Поддержки нет: извлечение не производится (кроме, возможно, минимальных системных сведений).
Важно понимать: эти статусы всегда привязаны к конкретной модели и версии ОС.
Нажмите для раскрытия...
Там представленны данные до ноября 2024 года: да, с тех пор многое успело измениться патчами iOS/Android, но общий паттерн виден — универсального ключа для взлома всех устройств по-прежнему нет, критичен режим AFU (после первого разблокирования), а перезагрузка уводит устройство в BFU (до первого ввода кода) и резко обрезает доступ; но статус зависит ещё и от чипсета/прошивки и защит производителя.​

Немного о состояних разблокировки:
  • BFU (Before First Unlock) — телефон только что включили/перезагрузили, пользователь ещё ни разу не ввёл код-пароль. Большинство ключей для пользовательских данных остаются «завёрнутыми» (защищены аппаратным ключом + вашим кодом), поэтому доступ к данным минимальный. Среди получаемых данных: идентификаторы устройства, версия ОС, немного системных метаданных/логов. Большинство пользовательских данных и ключchain/keystore недоступны.
  • AFU (After First Unlock) — пользователь хотя бы один раз ввёл код и разблокировал устройство после включения. С этого момента часть ключей «распаковывается» и держится в безопасной памяти, поэтому даже когда экран снова заблокирован, значительная часть данных остаётся доступной для системы (и, увы, для криминалистических инструментов), пока телефон не будет полностью перезагружён, потому правоохранители могут получить доступ к полной файловой системе/артефакам приложений либо к выбранным базам устройства, в зависимости от уровня доступа.
Нажмите для раскрытия...
Так что порой можно быстро перезагрузить устройство и перевести его в состояние BFU (Before First Unlock): ключи, которые в AFU хранятся в защищённой памяти, удаляются, и доступ к большинству пользовательских данных блокируется, пока вы сами не введёт код-пароль.
Использование МК-комплексов правоохранителями
Достоверных подтверждений, что правоохранительные органы стран СНГ (в широком смысле) официально используют именно GrayKey, нет. У поставщика и его партнёров есть присутствие в регионе, но продажи сильно зависят от экспортных ограничений и внутренней проверки клиентов. США ввели жёсткие экспортные ограничения в отношении России и Беларуси: экспорт/реэкспорт американских товаров ПОТРЕБУЕТ лицензии и в подавляющем большинстве случаев запрещён, так что легальные поставки GrayKey туда фактически исключены. Такая же ситуация с Cellebrite UFED / Physical Analyzer, ведь компания официально прекратила продажи в РФ и РБ, судя по
Чтобы видеть ссылки, необходимо зарегистрироваться.
.
Однако в РФ и РБ есть свои аналоги, вполне вероятно, использующие те же самые уязвимости:​
  • Elcomsoft (EIFT/EMFB/Phone Breaker) — инструменты для извлечения и расшифровки резервных копий, облачных данных Apple/Google, работы с ключами и паролями; по iOS опираются на джейлбрейк/эксплойты (включая checkm8 на совместимых моделях).
  • Китайские комплексы (Meiya Pico и др.) — линейки «mobile forensics» с аппаратно-программными станциями; у вендора есть русскоязычный сайт и упоминания о партнёрствах/дистрибуции в России.
  • «Мобильный Криминалист» (МКО Системы) — российский комплекс для извлечения/анализа данных с телефонов, ПК и облаков; производитель регулярно заявляет о поддержке новых эксплойтов/методов для iOS/Android.
В стандратный комплект криминалиста от МКО Системс входит некая извращённая вариация терморектального криптоанализатора:
Чтобы видеть изображения, необходимо зарегистрироваться.
Нажмите для раскрытия...
Если в наших странах такие решения не так заметны и применяются точечно, то в ЕС мобильная криминалистика — рутинная практика: соответствующие комплексы стоят у большинства подразделений и активно используются.Абсолютно неуязвимых смартфонов нет, к каждому как-то да можно докопаться, поэтому не забывайте про базовую гигиену безопасности — своевременно обновляйте устройства и приложения, используйте длинный буквенно-цифровой пароль, не пользуйтесь биометрией и т.п. и т.д...
 
Есть один самый верный способ узнать пароль от телефона! 😁
Физическое воздействие на подозреваемого!!
 
Mr Timely написал(а):
Есть один самый верный способ узнать пароль от телефона! 😁
Физическое воздействие на подозреваемого!!
Нажмите для раскрытия...
Один провод на яйцо, второй на ухо, и даже давно забытый пароль вспоминается. К сожалению, проверено на личном опыте.

Статья оч интересная, спасибо автору.
 
Крипторектальный анализ очень часто проще,дешевле и надёжнее.
Но специализированное ПО имеет место быть,спасибо автору,пиши ещё.
 
Последнее редактирование:
Обычно все подозреваемые сами выдают всю информацию под давлением правохранительных органов.
Правильно настроенный телефон с killer-паролем на grapheneos, выручит в трудный момент.
 
konstrukt написал(а):
Обычно все подозреваемые сами выдают всю информацию под давлением правохранительных органов.
Правильно настроенный телефон с killer-паролем на grapheneos, выручит в трудный момент.
Нажмите для раскрытия...
если бы знать еще как это настроить)
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Пряник
Компьютерная криминалистика
Ответы
0
Просмотры
1K
Пряник
Пряник
Korbendallas
KorbenDallas рекомендует - Компьютерная криминалистика - что происходит (глазами отд. К) когда по вам работают.
Ответы
0
Просмотры
2K
Korbendallas
Korbendallas
Назад
Сверху