Supongamos que un atacante obtuvo acceso físico a un dispositivo (un teléfono inteligente, por ejemplo). ¿Sería más difícil que el atacante realice acciones malintencionadas en el teléfono cuando este se apaga?
Estoy haciendo la pregunta porque soy consciente de varios puntos:
-
Cambiar de forma física algunos tipos de dispositivos es difícil para los atacantes con capacidad promedio. Por ejemplo, aunque sería fácil conectar un keylogger de hardware a un teclado conectado a una computadora de escritorio grande, hacerlo en un teléfono sin ser descubierto por el usuario es mucho más difícil (por ejemplo, cambio de peso, limitaciones de espacio, desgaste anormal) . Debido a esto, los atacantes pueden buscar otros vectores de ataque.
-
Para un sistema en ejecución, es difícil restaurar el estado del sistema después de modificarlo físicamente. Por ejemplo, manipular la memoria RAM del sistema puede provocar un apagado. Si los administradores son conscientes de un comportamiento anormal en la mañana siguiente, pueden realizar comprobaciones de hardware antes de que cualquier keylogger de hardware registre sus contraseñas de administrador. Para un teléfono, la pantalla de bloqueo puede cambiar después de reiniciar (por ejemplo, el desbloqueo de huellas digitales deshabilitado, desaparecieron las notificaciones no leídas).
-
Para un sistema en ejecución sería más fácil ejecutar código en él, por ejemplo, insertando dispositivos extraíbles o explotando vulnerabilidades en la pantalla de bloqueo. Para un sistema con una seguridad superior a la media, es posible que los atacantes no puedan ejecutar el código fácilmente (por ejemplo, servidores bloqueados, verificando la firma del kernel durante el arranque, etc.).
Le agradecería que observara otros puntos / mitigaciones.