Software de análise forense móvel: porque é que o Belkasoft X deve ser a sua ferramenta preferida
Hoje em dia, até pessoas que não trabalham com DFIR sabem que tentar adivinhar uma senha desconhecida manualmente não é a abordagem mais rápida, mas sim que perder permanentemente o acesso ao dispositivo e seus dados é o resultado mais comum. Os fabricantes de dispositivos e desenvolvedores de software fizeram um trabalho excelente na proteção dos dados dos usuários. E mesmo que não haja limite para tentativas de login, quebrar um PIN do Android manualmente com milhares e milhões de combinações possíveis claramente não é uma opção.
Então, como desbloquear um dispositivo Android para fins forenses? Encontre vulnerabilidades que permitam entrar no sistema, contornar restrições (pelo menos algumas delas) e iniciar um ataque automatizado de força bruta.
Mais fácil falar do que fazer.
Os dispositivos Android são extremamente diversos. Embora compartilhem recursos de segurança comuns, não existe uma solução universal. As soluções disponíveis visam grupos específicos de modelos de chipset, razão pela qual cada método de quebra de senha Android no Belkasoft X vem com seu próprio fluxo de trabalho — dependendo se você está lidando com dispositivos baseados em MediaTek, Kirin ou Unisoc.
Breve introdução ao ataque de força bruta na tela de bloqueio Android
A maioria dos dispositivos Android que chegam aos laboratórios forenses hoje têm dados de usuário criptografados. As chaves de criptografia usadas para protegê-los são extraídas no Ambiente de Execução Confiável (TEE) após a inicialização do dispositivo e o usuário inserir a senha. Essas chaves são baseadas em chaves específicas do dispositivo e chaves derivadas da senha da tela de bloqueio do usuário.
Os ataques de força bruta forenses exploram vulnerabilidades específicas do chipset, como a exploração de vulnerabilidades no processo de inicialização, como ROM de boot insegura ou modo de depuração. Especificamente, o Belkasoft X pode interromper a cadeia de boot seguro, obter execução de código em baixo nível e extrair as chaves necessárias para quebrar a senha do TEE. Este ataque de força bruta funciona offline—evitando o controle normal do Android (atraso no processamento de dados ou limites de tentativas). A velocidade de adivinhação da senha depende da complexidade da função de derivação de chave e da capacidade computacional da estação de trabalho forense digital.
Este processo não interage com os dados do usuário extraídos do dispositivo, portanto a probabilidade de alteração de informações ou perda de dados é menor.
Características da quebra por força bruta Unisoc
Os processadores de baixo custo da Unisoc (anteriormente Spreadtrum) são encontrados em muitos dispositivos Android econômicos. Alguns desses modelos de SoC têm vulnerabilidades que permitem execução de código no BootROM ao inicializar o dispositivo no Modo de Download Spreadtrum (SPD) via USB. O Belkasoft X usa essas vulnerabilidades para conseguir executar seu próprio código nos estágios mais iniciais de boot, extrair conteúdo de chaves de criptografia e quebrar a senha offline. As falhas do BootROM não podem ser corrigidas através de atualizações de software (porque estão na memória somente leitura), portanto os SoCs afetados permanecem inseguros para sempre.
Este método de força bruta é parte do fluxo de trabalho de aquisição Spreadtrum, sendo fácil de executar e relativamente rápido. Você só precisa instalar alguns drivers, colocar o dispositivo Unisoc no modo SPD e iniciar o processo.
Características da quebra por força bruta MediaTek (MTK)
Os SoCs MediaTek alimentam muitos tipos de dispositivos Android (especialmente telefones de médio porte como Xiaomi, Vivo, Oppo). Muitos desses dispositivos não possuem um elemento seguro dedicado e dependem apenas do TEE para segurança—e crucialmente, o BootROM do MTK tem vulnerabilidades conhecidas que abrem a porta para ataques de força bruta. Especificamente, permite carregar e executar código não assinado antes da implementação do boot seguro.
O Belkasoft X fornece um fluxo de trabalho de aquisição que pode entrar no processo de inicialização de muitos dispositivos baseados em chipset MTK. Como dispositivos baseados em Unisoc, ele baixa a imagem física do dispositivo e conteúdo de criptografia para que o processo de força bruta possa ser executado offline.
Para quebrar MTK com sucesso, você precisa instalar drivers para capacidade de comunicação de baixo nível com MTK e então colocar o dispositivo no modo BootROM (ou modo Preloader para alguns dispositivos). Todo o processo envolve algumas etapas de pré-requisito adicionais e demanda mais atenção que a quebra Unisoc, mas ainda é relativamente fácil de executar e funciona rapidamente.
Características da quebra por força bruta Kirin
Os chipsets HiSilicon Kirin, usados principalmente em dispositivos Huawei e Honor, apresentam uma situação ligeiramente diferente. Os telefones flagship da Huawei frequentemente vêm com segurança robusta (incluindo sua própria implementação de TEE e nos modelos mais novos também um elemento seguro integrado para pagamentos). Diferentemente do MTK ou Unisoc, não tantos exploits de BootROM para Kirin foram divulgados publicamente. Em vez disso, as ferramentas DFIR usam o modo de engenharia específico do dispositivo da Huawei e vulnerabilidades do bootloader.
Para quebrar por força bruta um dispositivo baseado em Kirin, você precisa colocá-lo no modo USB Download (também chamado de modo COM port), que habilita comunicação USB com o dispositivo e assim fornece acesso aos componentes necessários para ataques de força bruta. Ativar este modo requer algum esforço manual: você precisa abrir o dispositivo, encontrar o ponto de teste e fazer um curto usando pinças de ponta fina.
O Belkasoft X atualmente suporta quebra por força bruta e aquisição de dados para dispositivos executando nos chipsets Kirin 970 e 980. Este processo funciona offline, tornando-o bastante rápido e seguro. O fluxo de trabalho de aquisição depende se o dispositivo recebeu alguns patches de segurança ou não. Alguns modelos não conseguem se conectar via USB, alguns precisam do cabo Harmony TCP para iniciar comunicação USB, e alguns se conectam diretamente via USB-C. O Belkasoft X lhe dirá o que fazer.
Pensamentos finais: Não desista de evidências bloqueadas!
Quase todo dispositivo tem vulnerabilidades de hardware ou software. Dispositivos baratos e antigos, frequentemente usados como telefones descartáveis, geralmente são mais vulneráveis à quebra e aquisição, enquanto dispositivos Android de alta qualidade são normalmente construídos como fortalezas (este é um jogo de palavras).
Encontrar exploits não é fácil e leva tempo para pesquisar e implementar; é por isso que muitos métodos de força bruta visam apenas modelos antigos de telefones e tablets. Mas mesmo assim, não devemos desistir de evidências bloqueadas!
Imagine: você obtém um telefone bloqueado de um suspeito não cooperativo. É um modelo novo, totalmente atualizado e difícil de quebrar. Mas então, durante a investigação, outro dispositivo é encontrado—um telefone antigo que o suspeito abandonou anos atrás. Também está bloqueado, mas desta vez sua ferramenta DFIR (talvez o Belkasoft X) o suporta. Aqui está o ponto: pessoas frequentemente usam a mesma senha por anos, às vezes décadas. Portanto, há uma forte possibilidade de que a senha do dispositivo antigo seja a mesma do novo dispositivo.
Paciência, criatividade e as ferramentas certas podem transformar um beco sem saída em sucesso. Confira os modelos de dispositivos suportados pelo Belkasoft X: https://belkasoft.com/brute. Talvez um deles esteja juntando poeira em uma prateleira na sua coleção de evidências?