News

Hướng dẫn sử dụng UFED để trích xuất dữ liệu từ các thiết bị Samsung

Hướng dẫn sử dụng UFED để trích xuất dữ liệu từ các thiết bị Samsung

September 18, 2020

Như chúng ta đều đã biết, Samsung là nhà cung cấp di động hàng đầu trên thế giới khi chiếm 30,4% thị trường toàn cầu. Trong vài năm qua, Samsung đã bán được hàng triệu điện thoại thông minh với đa dạng các dòng như Galaxy S, A, J, ..v..v..

Để phù hợp với các mức giá và một vài yếu tố khác, Samsung đang sử dụng nhiều loại SoC như Exynos, Qualcomm, MediaTek (MTK),… Sự khác biệt về công nghệ giữa các mẫu Samsung làm tăng thêm nhu cầu sử dụng các phương thức trích xuất/mở khóa khác nhau.

Cellebrite tập trung vào việc cung cấp cho khách hàng những khả năng tốt nhất trong lĩnh vực trích xuất dữ liệu, bao gồm hàng tá các khả năng khác nhau đã được giới thiệu trong Cellebrite UFED của năm nay. Hướng dẫn này sẽ giúp bạn tìm ra phương pháp phù hợp để có thể lấy được nhiều dữ liệu nhất từ thiết bị Samsung của bạn.

Tại sao 2019 lại là một năm đầy ý nghĩa?

Khái niệm mã hóa dựa trên tệp (file-based encryption – FBE) không phải mới, nó đã được Android ra mắt vào năm 2016 với việc phát hành các thiết bị Pixel chạy Android 7. Nó đã sớm được các nhà cung cấp khác như Huawei, OnePlus… ứng dụng nhưng riêng Samsung, vì một lý do đặc biệt nào đó của họ, đã quyết định không chấp nhận nó và đã phát hành các dòng Galaxy S8, S9, Note 8, Note 9,… với mã hóa toàn bộ đĩa (full-disk encryption – FDE)

Tất cả đã thay đổi vào năm 2019 khi Samsung phát hành dòng Galaxy S10 và A-series mới (A10-A90), những sản phẩm này đã được phát hành với FBE. Từ thời điểm đó trở đi, các phương thức được sử dụng để xóa khóa màn hình đã trở nên không còn thích hợp và giờ đây, việc mở khóa đòi hỏi một cách tiếp cận “brute-force” (đây là kiểu tấn công được dùng cho tất cả các loại mã hóa, brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu) sử dụng mật khẩu người dùng để truy cập dữ liệu.

Trong UFED 7.33, Cellebrite đã giới thiệu toàn bộ tệp hệ thống cho các thiết bị Sam sung đã mở khóa FBE. Khả năng bổ sung hỗ trợ cho các dòng Galaxy S10/S10+/S10e và A10-A50 với chip Exynos. Quá trình trích xuất bắt đầu ở chế độ ODIN (chế độ “Download”) và yêu cầu rất ít tương tác của người dùng cho đến khi trích xuất được cung cấp. Hơn nữa, trong phiên bản UFED 7.34, chúng tôi đã thêm hỗ trợ Physical bypass cho Galaxy S9, S9 + và Note 9 với các mẫu Android 10.

Khả năng giải mã Exynos mới được giới thiệu lần đầu tiên vào tháng 02/2019 và được cải thiện đáng kể từ thời điểm đó. Do sự khác biệt trong các phiên bản hệ điều hành, các thiết bị mới hơn sẽ yêu cầu lưu lượng người dùng mới, do đó một trong những việc quan trọng là xác định thiết bị đang chạy Android 10 hay phiên bản cũ hơn.

Có một số cách để xác định phiên bản hệ điều hành: màn hình Splash, bảng điều khiển UFED, màn hình khôi phục của Samsung và thông tin thiết bị Android.

Trong một số trường hợp, thiết bị vẫn còn ở trong giai đoạn “boot loop” (khởi động lại liên tục). Nếu việc này xảy ra, UFED có một công cụ tích hợp giúp đưa thiết bị về trạng thái ban đầu và vẫn đảm bảo dữ liệu không bị mất.

Công cụ này có sẵn trong UFED, chỉ cần vào màn hình chính của UFED và chọn “Device tools”, sau đó chọn “Samsung Exynos Recovery”. Lưu ý chuẩn bị sẵn bộ đổi nguồn cho UFED vì nó cần cho quá trình này. Sau khi chọn “Samsung Exynos Recovery”, xác định model cụ thể của máy từ trong danh sách. Nếu không thể tìm thấy chính xác model, chọn “Others”.

Với các ứng dụng của bên thứ 3 trên các thiết bị Samsung

Whatsapp hay các ứng dụng khác như Facebook, Telegram,…thường lưu trữ những bằng chứng quan trọng mà chỉ có thể truy cập thông qua phương thức trích xuất nâng cao. Việc trích xuất vật lý “thông thường” không thể xuất trình ứng dụng của các bên thứ 3 (ngoại trừ việc hạ cấp APK, hạ cấp phiên bản ứng dụng và chỉ nên được sử dụng như một giải pháp cuối cùng) vì các nhà phát triển ứng dụng không sao lưu ứng dụng cục bộ bằng sao lưu Android và trên thực tế,  hầu hết các ứng dụng đều được mã hóa.

Bắt đầu với UFED 7.32, Cellebrite đã giới thiệu một phương thức độc đáo cho phép trích xuất các ứng dụng của bên thứ ba từ các thiết bị Samsung, Qualcomm và Exynos, chạy hệ điều hành Android 8 – 9. Khả năng mới của phiên bản này là một phần của Advanced Logical và sẽ tự động khởi chạy nếu kiểu dữ liệu của file đó được chọn.  Khả năng này cũng có thể truy cập từ nút sao lưu trên Android.

hti-phuc-hoi-du-lieu-dien-thoai-samsung-h2

How-To-Get-The-Most-Evidence-From-Samsung-Devices-Using-UFED-P5B

Thư mục bảo mật của Samsung

Có một thư mục thường bị bỏ lỡ, đó là thư mục Secure (Bảo mật). Thư mục Bảo mật là là nơi hoàn hảo để lưu trữ tất cả ảnh, video, tệp, ứng dụng và dữ liệu mà bạn muốn giữ riêng tư. Thư mục được bảo vệ bởi nền tảng bảo mật Samsung Knox để giữ an toàn cho dữ liệu khỏi mọi sự tò mò.

Trong trường hợp truy cập vật lý vào màn hình ứng dụng của thiết bị, tìm kiếm thư mục Secure.

Trong trường hợp không có quyền truy cập vật lý, sau khi trích xuất vật lý \ Full-File-system, hãy tìm:

  1. Knox.securefolder (Android 8 trở lên) trong các ứng dụng đã cài đặt.
  2. Thư mục Secure được bật sẽ có tệp XML có tên csamsung.knox.securefolder_preferences.xml hoặc SamsungAnalyticsPrefData.xml.
  3. Tìm kiếm User / 150, bạn sẽ thấy thư mục Secure

Nếu thư mục Bảo mật được bật trên thiết bị, cần có một trích xuất khác để truy xuất dữ liệu được giải mã. Một số phương pháp của UFED như Samsung Decrypting Exynos có thể truy xuất thư mục Bảo mật như một phần của quá trình trích xuất toàn bộ tệp, Cellebrite Premium cho phép giải mã các trích xuất của thư mục Samsung Secure từ hầu hết các thiết bị Samsung.

Tới đây, gần như mọi thiết bị mới ra khỏi nhà máy sẽ được trang bị FBE, như Google tuyên bố rằng mọi thiết bị Android 10 mới nên sử dụng FBE [6]. Điều đó có nghĩa là các nhà kiểm nghiệm sẽ cần các khả năng full-file-system cùng với brute-force và \ hoặc AFU. Những khả năng này sẽ khó có được hơn do sự bảo mật ngày càng được nâng lên.

Cellebrite đang có kế hoạch phát hành một tính năng trích xuất chung mới cho các thiết bị Android dựa trên Qualcomm đã mở khóa. Tính năng mới mang tên Qual Qualcomm Live, sẽ hỗ trợ cả thiết bị FBE và FDE chạy lên Android 10. Khả năng ấn tượng này sẽ cho phép các nhà kiểm nghiệm trích xuất các ứng dụng của bên thứ ba được giải mã và các dữ liệu quan trọng khác. Cellebrite cam kết cung cấp các khả năng tiên tiến để giúp khách hàng của mình có được nhiều bằng chứng nhất từ các thiết bị di động.

Nguồn:

https://www.cellebrite.com/en/blog/how-to-extract-evidence-from-samsung-devices-using-cellebrite-ufed/?utm_source=facebook&utm_medium=Organic-Social-Media&utm_campaign=sf255907&utm_content=social-media-forensic-friday-ufed-samsung-devices-blog&fbclid=IwAR1Pi1upAEanieV9JAl46GiPriBHwwGInHbBb2bWBVv9yESeof7a3-vJRDQ

Tham khảo:

https://gs.statcounter.com/vendor-market-share/mobile

https://source.android.com/security/encryption/file-based

https://cf-media.cellebrite.com/wp-content/uploads/2020/03/ReleaseNotes_UFED_7.30_A4.pdf

https://cf-media.cellebrite.com/wp-content/uploads/2019/09/ReleaseNotes_7.23.pdf

https://www.samsung.com/uk/support/mobile-devices/what-is-the-secure-folder-and-how-do-i-use-it/

 

Share