¿Qué tan seguro es borrar un dispositivo Android cifrado?

4

basado en mi conocimiento anterior, sé que el iPhone tiene implementado cifrado de hardware en modelos recientes. Cuando emitimos el comando "Borrar todos los contenidos y configuraciones", las claves de cifrado se destruyen, lo que hace que los datos dentro del dispositivo sean inútiles.

Android también proporciona cifrado mediante el uso de dm-crypt y creo que encripta todo cuando el dispositivo está en la etapa de arranque. Ahora digamos que reinicio el dispositivo a la configuración de fábrica. Sé que sin cifrado, puedo recuperar una cantidad significativa de datos mediante la adquisición y talla de archivos de la imagen física. Sin embargo, me pregunto si se ha realizado alguna investigación sobre la adquisición de una imagen encriptada después de restablecer la configuración de fábrica y recuperar datos útiles de la misma.

He encontrado que algunas presentaciones de defcon y este tipo de profundización en este tema, pero me preguntaba si hay algo más concreto allí.

Gracias por la ayuda.

    
pregunta Alistair 30.04.2013 - 08:17
fuente

3 respuestas

7

El principio es el mismo si Apple o Google lo hacen. La mayoría de los datos almacenados en el dispositivo (incluidos todos los datos del usuario, todo menos un código de inicio y, por supuesto, la clave de cifrado) están cifrados, y la única forma de descifrarlos es con una clave almacenada en el dispositivo. (La clave puede estar encriptada con el código de acceso de desbloqueo, pero eso es un asunto aparte. Para nuestros propósitos aquí, hay un archivo de clave, que contiene la clave en una forma potencialmente recuperable).

Una vez que borres el archivo clave, no hay forma de recuperar ninguno de los datos cifrados. La única información que puede obtener es un límite superior aproximado de la cantidad de datos almacenados en el dispositivo, e incluso esto solo si el dispositivo no se inicializó con datos aleatorios. No sé si todas las integraciones de Android hacen esto. Los datos en sí solo se pueden recuperar con la clave.

Los datos pueden ser recuperables si ha hecho una copia de seguridad de la clave fuera del dispositivo (o si ha hecho una copia de seguridad de los datos, por supuesto). Siempre y cuando no pierda las copias de seguridad de su clave, los datos no se podrán recuperar una vez que se haya borrado la clave del dispositivo.

En ambos casos, Apple o Google, es posible recuperar el archivo clave de la parte del almacenamiento flash que actualmente es no utilizado debido a la nivelación del desgaste , si esa parte contiene el archivo de claves. Esto no es algo que puedas hacer con el software, necesitas un poco de equipo electrónico y jugar con el almacenamiento flash (creo que debes desoldarlo del tablero, que ya es un gran obstáculo para los atacantes casuales y mata la reventa del dispositivo) valor).

    
respondido por el Gilles 30.04.2013 - 10:30
fuente
2

En el mejor de los casos, esta pregunta nos pide que busquemos en Google una investigación específica para usted. Así que lo marcé como "No constructivo".

Primero, comenzaría con la comprobación de las notas de implementación . Un vistazo rápido puede decirle muchas cosas. . Están utilizando AES de 128 bits - CBC ESSIV : SHA256 , que parece arriba Muesca para mí.

Una mirada más cercana le diría que no están cifrando la tarjeta SD. Explican en detalles relativos lo que está cifrado, cómo se cifra, cuándo se cifra y cuándo se descifra. Si busca en otros lugares, también encontrará que la contraseña está limitada a 16 caracteres.

Armado con ese conocimiento, ahora tienes suficiente información para ir por tu cuenta. Una búsqueda rápida en el sitio y verá esta hermosa respuesta de The Bear que explica el escenario sobre el que estás preguntando.

    
respondido por el Adi 30.04.2013 - 10:31
fuente
2

Se ha realizado una investigación sobre la capacidad de recuperar datos de un dispositivo Android que emite el cifrado de Android. Hubo una pregunta similar que usted podría leer. También puede consultar la ROM Frost . Este documento, que fue una ROM de recuperación creada para demostrar el potencial de usar un ataque de arranque en frío para recuperar datos clave de un dispositivo encriptado, implica que el borrado / restablecimiento de fábrica del dispositivo estándar ofrece un nivel razonable de protección después de que se haya borrado un dispositivo encriptado

  

Lamentablemente, el proceso de desbloqueo borra los datos de usuario y   partición de caché y, por tanto, buscar la clave AES después de desbloquear se convierte en   Sin sentido (aunque todavía es posible). Verificamos que el Galaxy Nexus en realidad   borra los datos de usuario y la partición de caché, lo que significa que no los llena.

     

El proceso de limpieza implementado por Google es encomiable ya que incluso se procesa   La recuperación de datos en el caso de particiones no encriptadas es difícil.

Espero que esto ayude.

    
respondido por el dudebrobro 30.04.2013 - 15:18
fuente

Lea otras preguntas en las etiquetas