Современныепринципы шифрования Android-устройстви ... · 5...
Transcript of Современныепринципы шифрования Android-устройстви ... · 5...
![Page 1: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/1.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Современные принципышифрования Android-устройств иподходы к их расшифровыванию
Карондеев А.М.
![Page 2: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/2.jpg)
2
![Page 3: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/3.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Android Compatibility Definition Document3
Android version data storage encryption by default hardware-backed keystore
Android 4 NOT not supported
Android 5 SHOULD MUST*
Android 6 SHOULD MUST*
Android 7 MUST MUST*
Android 8 MUST MUST
Android 9 MUST MUST
*) If the device provides a hardware-backed keystore
![Page 4: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/4.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Android Full Disk Encryption4
Encrypted Disk
PasswordKDF
cryptofooter
master_key
salt
…
AES CBCDEK
DEK
![Page 5: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/5.jpg)
5
SCRYPTPassword
Salt
IK1 Zero Padded IK1
IK2 RSA sign
KEK
IV
AES CBCEncrypted
DEK
IK3
SCRYPTHardware bound
RSA key
DEK cryptofooter
master_key
salt
keymaster_blob
2048 bits
256 bits
128 bits
128 bits
128 bits
256 bits
2048 bits
2048 bits
128 bits
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Disk Encryption Key (DEK)
Key Encryption Key (KEK)
Intermediate Key # ( IK# )
![Page 6: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/6.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Подходы к расшифровыванию
▹Уязвимости ОС
▹Внедрение в процесс загрузки
▹Извлечение hw-bound key
6
![Page 7: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/7.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Уязвимости ОС
▹ Получение доступа Linux shell▹ Повышение привилегий▹ Чтение памяти
7
![Page 8: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/8.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Уязвимости ОС
▹ CVE-2014-3153 (TowelRoot)
▹ CVE-2015-3636 (PingPong Root)
▹ CVE-2016-5195 (DirtyCow)
▹ CVE-2018-9445 (Smart adb)
8
![Page 9: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/9.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Уязвимости ОС
Ограничения подхода:
▹ Необходимо разблокированное устройство
▹ После публикации уязвимости оперативнозакрывают
▹ Среднее отставание порядка года
9
![Page 10: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/10.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Внедрение в процесс загрузки
Принцип работы основан на эксплуатацииуязвимостей в проприетарных протоколах,предназначенных для обновления ПО идиагностики Qualcomm, MTK, Spreadtrum,Kirin устройств
10
![Page 11: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/11.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Внедрение в процесс загрузки
▹ Позволяет получить root shell до ввода
▹ Если известен пароль или выключенаопция Secure Start-Up, то позволяетрасшифровать userdata
11
![Page 12: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/12.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Secure Start-Up12
![Page 13: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/13.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Secure Start-Up13
![Page 14: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/14.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Qualcomm Decrypting Bootloader
▹ Уязвимые SoC: msm8909, msm8916, msm8939, msm8952, msm8924, msm8994, msm8996, msm8976, msm8917, msm8937, msm8940, msm8953
▹ Уязвимые версии Android: до Android 7.1 включительно
14
![Page 15: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/15.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Qualcomm Decrypting Bootloader
▹ Необходимо перевести устройство в режим EDL (9008)
▹Необходим подписанный производителемfirehose файл
▹ alephsecurity.com/2018/01/22/qualcomm-edl-1/
15
![Page 16: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/16.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
MediaTek Decrypting Bootloader
▹ Уязвимые SoC: MT6757, MT6755, MT6797, MT6735,MT6750, MT6737, MT6753, MT6580
▹ Для некоторых устройств необходимы подписанные производителем DA и auth файлы
16
![Page 17: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/17.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Huawei Decrypting Bootloader
▹ Уязвимые SoC: HiSilicon Kirin 92x, 93x, 95x, 96x
17
![Page 18: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/18.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Извлечение hw-bound key
Принцип работы основан на эксплуатацииуязвимостей в проприетарных протоколах,предназначенных для обновления ПО идиагностики Qualcomm, MTK, Spreadtrum,Kirin устройств
18
![Page 19: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/19.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Извлечение hw-bound key
▹ Позволяет подбирать пароль внеустройства
▹ Если подобран пароль или выключенаопция Secure Start-Up, то позволяетрасшифровать userdata
19
![Page 20: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/20.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Подходы к расшифровыванию20
Внедрение в
процесс загрузки
Извлечение hw-bound
key
Qualcomm + +
MediaTek + +
Spreadtrum * *
Exynos + *
Kirin + *
*) На данный момент отсутствует ПО реализующие подход
![Page 21: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/21.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Доля рынка SoC смартфонов21
![Page 22: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/22.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Доля рынка SoC смартфонов22
![Page 23: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/23.jpg)
© Оксиджен Софтвер, 2000-2019http://www.мобильный-криминалист.рф
Подведем Итоги
▹ На любом современном Android смартфоне по умолчанию включено шифрование пользовательских данных
▹Если включена опция Secure Start-Up, то лучшее что можно сделать – извлечь hw-backed key и пытаться подобрать пароль вне устройства
23
![Page 24: Современныепринципы шифрования Android-устройстви ... · 5 Password SCRYPT Salt IK1 Zero Padded IK1 IK2 RSA sign KEK IV AES CBC Encrypted DEK](https://reader030.fdocument.pub/reader030/viewer/2022040309/5f0c3d3d7e708231d4346b81/html5/thumbnails/24.jpg)
Спасибо за внимание!Вопросы?
Карондеев Андрей Михайлович[email protected]
24© Оксиджен Софтвер, 2000-2019
http://www.мобильный-криминалист.рф