Realizar un bypass o recuperación de datos de dispositivos móviles cifrados no es una tarea fácil de realizar. Por eso siempre es una gozada disponer de profesionales que están dispuestos a compartir su experiencia con estos temas que pueden ayudar a otros con la tarea o dar ideas para iniciar nuevas investigaciones y pruebas.
En las Jornadas de ciberseguridad BitUp celebradas en Alicante tuve la oportunidad de cruzarme por primera vez con Buenaventura Salcedo un especialista en eso del cacharreo con smartphones que tiene la virtud de explicar cosas de lo más complicadas de forma sencilla.
Para muestra este caso práctico de un brutal bypass a un smartphone Android 7 que detalló paso a paso y que está disponible a continuación tanto en vídeo como en podcast y también están reunidos el resto de los vídeos de las jornadas en la lista de reproducción de BitUp de mi canal de YouTube.
Buenaventura Salcedo (@nomed__1) es CEO de un Servicio Técnico de telefonía móvil e informática desde el año 2004 y estudiante del último curso de Ingeniería Informática en la UNED. Desarrollador de artifacts forenses para smartphones. Desarrollador del primer clúster español Linux de cálculo para sha1 y desarrollador del primer gestor masivo de códigos online español. Es colaborador en el blog Comunix Group y un entusiasta de la ciberseguridad, DFIR y el análisis forense.
Bypass a un Nokia 3, caso práctico
La idea de realizar de esta forma la recuperación de datos del smartphone que desglosa en esta charla la sacó Buenaventura de un estudio experimental realizado por Roman Loftus y Marwin Baumann en la Universidad de Amsterdam y que está disponible en PDF y que se centra en cómo descifrar la partición de datos.
Con esta información de base se puso a cacharrear en un caso real complicado para la adquisición de los datos del terminal y poder realizar un posterior análisis forense. Este experimento lo realizó en un terminal Nokia 3 con Android 7 del cual conocía el código de seguridad pero que en este caso le servía de poco.
En la charla con demo incluida*, explica con detalle las fases que sigue para realizar este brutal bypass y las herramientas empleadas:
- Dumpear el teléfono. Programas para dumpear la memoria emmc:
- Extraer /metadata y /userdata con FTK o un parseador.
- FTK imager lite.
- HxD.
- TWRP open source.
- SU.
- adb y librerías.
- Desbloquear el bootloader, el teléfono se borra.
- Desbloquear el teléfono ‘Vacío’ pero con bootloader desbloqueado.
- Alinear /metadata y /userdata en el dump Vacío.
- Escribir bypass, el dum modificado del 6.
- TWRP + ROOT desde microSD.
- Realizar el clonado de /data con dd.
*Las diapositivas de la charla están disponibles en este enlace del perfil de GitHub de Buenaventura.
Otra charla de Buenaventura disponible en el canal es ‘Análisis forense en dispositivos Android en casos extremos (Chip-off)‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
a PAULREY. Esta es la primera fase adquisicion de un analisis forense en telefonia movil. Sin lugar a dudas la parte más delicada del proceso de dicho analisis. No se si has entendido bien el proceso o lo has seguido completamente, pero al decir en tu comentario «únicamente contenido/datos cifrados» afirmas que el proceso no serviria para nada. Tu comentario es erroneo, lo que obtenemos es la particion de datos DESCIFRADA. /data esta cifrado, pero nosotros obtenemos del punto de montaje /dm-0 que es la salida bajo demanda descifrada de la particion /data y que puedes montar sin ningun problema e iniciar la siguiente fase de analisis que es la recuperacion de información y ficheros borrados, que como sabes eso ya es «coser y cantar» una vez que tenemos la materia prima con la que trabajar. No crees que no tendria sentido dar una charla en la cual tan solo obtenemos datos cifrados con los cuales NO podemos trabajar.
Muchas gracias por la aportación, cabe recalcar que con este método no se obtendrían ficheros borrados durante su uso, únicamente contenido/datos cifrados.
Acceso al contenido, eso es.