QR code per la pagina originale

Android, quando la sicurezza è congelata

FROST, ossia Forensic Recovery Of Scrambled Telephones: come mettere un Android in congelatore ed estrapolarne i dati della RAM.

,

La sicurezza è un concetto relativo. Anche quando si pensa che un PIN possa essere sufficiente per tutelare le informazioni contenute nel proprio device, un semplice trucchetto può in realtà aggirare ogni protezione e portare così in chiaro le proprie attività, i propri contenuti, le proprie immagini. Una tecnica speciale, denominata FROST, fa leva su di una circostanza del tutto particolare per aprire l’accesso alla memoria dei dispositivi Android: la temperatura.

Alcuni ricercatori della Erlangen University, Tilo Mueller e Michael Spreitzenbarth, hanno dimostrato come, riponendo semplicemente un Galaxy Nexus in un congelatore, sia possibile estrapolare dati dalla memoria senza dover conoscere alcun codice di accesso. La tecnica non è nota, poiché già applicata in passato ai PC, ma assume oggi nuovo significato in virtù dell’esplosione del mobile e dell’aumentare delle informazioni sensibili ivi contenute. Tutto sta nel portare il dispositivo a bassissime temperature, congelandone così tanto la scocca quanto la memoria interna. Il nome che tale tecnica è venuto ad assumere è pertanto iconico: FROST, parola che descrive tanto le condizioni dell’attacco quanto sigla che identifica la cosiddetta Forensic Recovery Of Scrambled Telephones. Le immagini seguenti ne dimostrano l’applicazione sul terminale Android preso ad esempio:

Il trucco fa leva sul fatto che, una volta spento un terminale, la memoria rimane “viva” ancora per alcuni istanti sulla RAM. Tutte le informazioni a cui si è avuto accesso, insomma, rimangono a disposizione per un tempo estremamente breve, che la temperatura potrebbe però allungare per il tempo necessario ad operare alcune azioni si sabotaggio sul device. Se in condizioni di temperatura normale la RAM si disattiva e si cancella nel giro di 1-2 secondi, infatti, portando la temperatura a livelli più bassi è possibile prolungare fino a 5-6 secondi il tempo di rimanenza dei contenuti. 5-6 secondi è quanto basta per avviare il device con modalità particolari ed estrapolare i dati ivi conservati.

In alcuni casi tale tecnica consente di catturare anche codici di accesso utili in seguito ad accedere del tutto al device, senza dover giocoforza fermarsi a quanto conservato dalla RAM: gli ultimi device sono in grado di proteggere questo passaggio, impedendo così di entrare in possesso del dispositivo nella sua totalità.

La tecnica prevede alcuni passaggi particolarmente complessi, una certa manualità, una estrema rapidità di azione ed ovviamente il possesso fisico del device. Tali aspetti sembrano deviare la documentazione dei ricercatori più verso l’analisi forense che non verso laboratori di cracking. La ricerca ha comunque una valenza teorica importante: nessun device è totalmente sicuro poiché la RAM rimane sempre e comunque un punto debole che un semplice congelatore è in grado di colpire.