GrapheneOS và trích xuất dữ liệu pháp y số (2024)

 (discuss.grapheneos.org)
2 điểm bởi GN⁺ 2025-09-12 | 1 bình luận | Chia sẻ qua WhatsApp
  • GrapheneOS đang được chú ý nhờ bảo mật và quyền riêng tư cao, ở mức có thể sánh với iOS
  • Vào tháng 5/2024, đã xuất hiện một chiến dịch tung tin sai lệch trên mạng xã hội rằng GrapheneOS dễ bị trích xuất dữ liệu
  • Các công cụ pháp y như Cellebrite có thể thực hiện trích xuất không có sự đồng ý trên phần lớn thiết bị Android/iOS, nhưng GrapheneOS không bị xuyên thủng khi đã áp dụng bản vá bảo mật mới nhất
  • Trích xuất dữ liệu dựa trên sự đồng ý (consent-based) là trường hợp người dùng tự mở khóa thiết bị mà họ sở hữu, và chỉ khi đó mới có thể trích xuất
  • Tổ hợp Pixel 6 trở lên và GrapheneOS có thể chặn cả các kiểu tấn công mới nhất như brute-force mật khẩu và tấn công qua kết nối USB

Tổng quan về GrapheneOS và bối cảnh vụ tấn công trên mạng xã hội

  • GrapheneOS là một hệ điều hành dựa trên Android, mã nguồn mở, tập trung vào bảo mật và quyền riêng tư, cung cấp mức bảo vệ ngang hoặc vượt iOS
  • Vào tháng 5/2024, đã xảy ra một chiến dịch thúc đẩy hiểu lầm trên mạng xã hội rằng GrapheneOS đã bị công cụ pháp y phá vỡ
  • Trên thực tế, đây là trường hợp trích xuất dữ liệu dựa trên sự đồng ý (consent) của người dùng bị cố tình diễn giải sai với ác ý, khiến GrapheneOS bị truyền đạt sai là có lỗ hổng

Tổng quan về pháp y số và trích xuất dữ liệu

  • Pháp y số là quá trình thu thập và phân tích chứng cứ điện tử
  • Quá trình này trích xuất và phân tích tài liệu liên quan đến chứng cứ tội phạm hoặc tranh chấp pháp lý từ nhiều loại thiết bị như máy tính, điện thoại thông minh và phương tiện lưu trữ
  • Tuy nhiên, công nghệ pháp y có thể bị lạm dụng cho xâm phạm đời tư, trả đũa hoặc ngụy tạo chứng cứ
  • GrapheneOS đang phát triển nhiều biện pháp bảo mật nhằm ngăn trích xuất dữ liệu không có sự đồng ý và chống can thiệp thiết bị

Cellebrite và ảnh hưởng của công ty này

  • Cellebrite là công ty tiêu biểu trong lĩnh vực pháp y số có trụ sở tại Israel, nổi tiếng với công cụ UFED (Universal Forensic Extraction Device)
  • Công ty bán thiết bị hợp pháp cho chính phủ và cơ quan tư pháp, nhưng cũng bán cho các quốc gia độc đoán hoặc đàn áp nhân quyền
  • Công cụ này đã được dùng để thử trích xuất dữ liệu điện thoại thông minh ở nhiều khu vực trên thế giới

Phương thức trích xuất dữ liệu và nền tảng kỹ thuật

  • Bước đầu tiên của pháp y số là trích xuất dữ liệu từ thiết bị di động
  • Khi thiết bị đang bị khóa, người ta sẽ thử đoán mật khẩu/PIN bằng nhiều cách khác nhau như hack hoặc brute-force
  • Hai trạng thái của điện thoại thông minh:
    • BFU (Before First Unlock): trạng thái chưa từng được mở khóa lần nào sau khi khởi động, dữ liệu bên trong được mã hóa hoàn toàn, nên rất khó cho phân tích pháp y
    • AFU (After First Unlock): trạng thái sau khi đã mở khóa, khóa được lưu trong bộ nhớ nên việc truy cập dữ liệu tương đối dễ hơn
    Quảng cáo

Thực tiễn trích xuất dữ liệu ngoài hiện trường

  • Trạng thái AFU: thử vượt qua hoặc mở khóa màn hình rồi trích xuất dữ liệu bằng cách khai thác lỗ hổng phần mềm
  • Trạng thái BFU: thử đoán đúng PIN/mật khẩu bằng brute-force (thử mọi tổ hợp)

Năng lực trích xuất dữ liệu mới nhất của Cellebrite

  • Theo tài liệu công bố vào tháng 4/2024, công ty có thể hack và trích xuất trên mọi thương hiệu Android ngoại trừ GrapheneOS, bất kể ở trạng thái AFU hay BFU

  • Với các thiết bị iOS mới nhất cũng có hỗ trợ một phần; đa số người dùng iPhone được áp dụng bản vá mới tự động nên mức độ rủi ro giảm xuống

  • NSO (hãng tạo ra Pegasus) từng có trường hợp khai thác lỗ hổng trên phiên bản iOS mới nhất với tốc độ rất nhanh

  • GrapheneOS được chính thức thừa nhận là ngay cả Cellebrite cũng không thể hack nếu đã áp dụng các bản cập nhật bảo mật từ sau cuối năm 2022

    Quảng cáo

  • Do cập nhật được bật tự động, phần lớn người dùng vẫn duy trì mức bảo mật mới nhất

  • Tuy vậy, nếu người dùng tự mở khóa thiết bị (consent-based), thì iOS, Android và GrapheneOS đều có thể bị trích xuất dữ liệu

    • GrapheneOS có thể cho phép truy cập toàn bộ dữ liệu thông qua tùy chọn nhà phát triển và công cụ adb

  • Pixel 6 và các mẫu mới hơn + GrapheneOS không thể bị brute-force xuyên thủng ngay cả với thử ngẫu nhiên PIN 6 chữ số

Quảng cáo

Vụ tấn công trên mạng xã hội và sự thật

  • Vào tháng 5/2024, trên mạng xã hội đã lan truyền các tuyên bố sai sự thật về lỗ hổng của GrapheneOS dựa trên các ca trích xuất thành công theo hình thức consent-based
  • Trước đây cũng từng có các trường hợp tung tin giả tương tự, như tin đồn Signal bị phá mã hóa (thực tế là người dùng tự mở ứng dụng và cung cấp cho bên pháp y)

Chiến lược phòng thủ của GrapheneOS trước tấn công pháp y

Các tính năng chính để ngăn hack điện thoại

  • Khi thiết bị đang ở trạng thái khóa (như screen lock), hệ thống cung cấp tính năng chặn kết nối USB mới và chặn cổng ở cấp độ phần cứng
  • Có thể cấu hình chặn hoàn toàn USB đến mức người dùng mong muốn trong nhiều kịch bản như BFU, AFU hoặc khi đã mở khóa hoàn toàn
  • Từ năm 2024, ngay cả firmware của Pixel cũng đã được tăng cường bảo mật

Phòng thủ trước tấn công brute-force

  • Các thiết bị Pixel 6 trở lên được trang bị Titan M2 (mô-đun bảo mật phần cứng) để bảo vệ khóa mã hóa
  • Sau 5 lần nhập sai phải chờ 30 giây; sau khi vượt 30 lần và 140 lần, thời gian chờ tiếp tục tăng; sau đó chỉ cho phép nhập 1 lần mỗi ngày (secure element throttling)
  • Đã vượt qua đánh giá độc lập cấp AVA_VAN.5, chứng minh mức bảo mật cực cao
  • Các mô-đun bảo mật của iOS, Samsung và Qualcomm đã từng bị các tác nhân tấn công cấp doanh nghiệp vượt qua, nhưng tổ hợp GrapheneOS + Pixel 6 trở lên không có ca thành công nào trong vài năm gần đây

Tính năng tự khởi động lại (auto reboot)

  • Sau mặc định 18 giờ (có thể tùy chỉnh từ 10 phút trở lên), thiết bị sẽ tự khởi động lại; nếu không dùng, nó sẽ quay về trạng thái BFU
  • Vì vậy, ngay cả khi hacker phát triển được exploit thì cửa sổ thời gian có thể tấn công thực tế cũng chỉ bị giới hạn trong khoảng từ lúc người dùng mở khóa đến trước khi máy khởi động lại

Kết luận và triển vọng sắp tới

  • Đội ngũ GrapheneOS đang liên tục tăng cường nhiều lớp gia cố bảo mậtcác tính năng bảo mật tự động
  • Trong tương lai, dự kiến sẽ đưa vào các biện pháp bảo vệ mạnh hơn nhưng vẫn tiện dụng hơn như xác thực hai bước bằng vân tay + PIN, UI tự động với passphrase ngẫu nhiên
  • Trong bối cảnh các nhóm tấn công tinh vi vẫn chưa thể xuyên thủng nhưng thông tin sai lệch lại được phát tán, thông tin dựa trên sự thật có thể giúp phòng vệ trước điều đó

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-09-12
Ý kiến Hacker News
  • Tôi không nghĩ tồn tại cái gọi là "chính phủ xấu" và "chính phủ tốt", rốt cuộc mọi thứ đều thay đổi tùy theo góc nhìn của mỗi người, vì vậy tôi cho rằng chúng ta không nên mù quáng giao toàn bộ dữ liệu cho chính phủ chỉ vì họ bảo vệ chúng ta khỏi khủng bố hay tội phạm ấu dâm, trên thực tế rồi đến lúc nào đó chính phủ cũng sẽ lạm dụng những công dân vô tội, chuyện này đang xảy ra ngay lúc này và có lẽ họ còn đang đòi hỏi thêm nhiều quyền kiểm soát hơn nữa
    • Tôi cho rằng nếu chính phủ không giải quyết được đúng nhu cầu của người dân, không phải điều họ muốn mà là điều họ cần, thì đó chính là một chính phủ tồi, nếu ngoài đường đầy băng đảng, trộm cắp, ma túy, dịch bệnh thì đó không phải là vấn đề góc nhìn của người dân mà là điều tồi tệ chính phủ phải xử lý, nếu không có vai trò đó thì tôi không thấy lý do gì để chính phủ tồn tại
    • Vì vậy tôi nghĩ không nên tùy tiện giao việc quản lý dữ liệu cho bất kỳ ai, dù là chính phủ hay bên nào khác, ít nhất với chính phủ thì họ còn viện dẫn giá trị lợi ích công, còn doanh nghiệp thì động cơ duy nhất chỉ là lợi ích cổ đông
    • Về mặt lý thuyết thì đây là một lập luận thú vị, nhưng ở đất nước nơi tôi sinh ra thì thực tế là chính phủ kiểm tra điện thoại của người dân rồi dùng các hành vi chống đối chính phủ hay hoạt động trên mạng xã hội làm bằng chứng để tuyên những bản án rất dài, có thể xem một ví dụ gần đây ở liên kết này, dù GrapheneOS có an toàn đến đâu thì để thực sự tránh được kiểu đe dọa này bạn vẫn cần một chiếc điện thoại hoàn toàn sạch
    • Tôi nghĩ có người đang cố tình đánh lạc hướng vấn đề, chủ đề này thật ra chẳng còn gì để tranh cãi nữa, một chính phủ bắt cóc, tra tấn, sát hại và làm cho công dân "biến mất" rõ ràng là chính phủ xấu, trong lịch sử lẫn thực tế thì Trung Quốc, Nga, Mexico, Triều Tiên, Belarus, vùng Balkan và nhiều quốc gia châu Phi là ví dụ, việc 34% hàng xóm của tôi muốn đưa tôi vào trại cải tạo không khiến điều đó trở nên chính đáng, cá nhân tôi cũng tuyệt đối không muốn sống ở những nơi như vậy, và kiểu ví dụ "còn tùy quan điểm" cũng chính là ví dụ tiêu biểu của một chính phủ xấu, để trở thành chính phủ tốt thật ra không khó, chỉ cần đừng hành xử tệ hại là được
    • Tôi nghĩ kiểu suy nghĩ này là một hiện tượng rất đáng lo, tức là chỉ cần chính phủ khác với quan điểm cá nhân thì lập tức bị quy là chính phủ xấu, dường như người ta quên mất rằng để nền văn minh có thể cùng tồn tại với rất nhiều thành viên mang góc nhìn khác nhau thì đôi khi vẫn cần có sự thỏa hiệp
  • Tôi thật sự rất thích GrapheneOS, chỉ là nếu có một phiên bản cho phép trích xuất dữ liệu riêng tư của ứng dụng hoặc lấy root shell khi người dùng đã được xác thực thì sẽ hoàn hảo hơn, các nhà phát triển nói rằng quyền root tạo ra một lỗ hổng rất lớn trong mô hình bảo mật, nhưng nếu chỉ cần có cách dùng root một cách an toàn thì tôi có thể tự sửa chính ứng dụng mình muốn và dùng nó, như vậy sẽ là hệ điều hành lý tưởng nhất, dĩ nhiên tôi có thể tải về rồi tự ký nhưng tôi không muốn đi xa đến mức đó
    • Có thể bật root trên GrapheneOS, chỉ là khi làm vậy dữ liệu sẽ bị xóa nên nhất định phải sao lưu, nếu thật sự cần root thì có thể vận hành theo kiểu sao lưu dữ liệu - bật quyền root - khôi phục
    • Tôi cũng muốn có tính năng này, hiện tôi đang tự build bản userdebug để dùng adb root, nhưng nếu được hỗ trợ chính thức thì sẽ tốt hơn nhiều
    • Ý là bạn không thể có cả hai, quyền truy cập root là một lỗ hổng bảo mật cực lớn nên bản chính thức sẽ không bao giờ hỗ trợ, ngoài cách tự tạo key và image tùy chỉnh thì không còn lựa chọn nào khác
    • Tôi tò mò mô hình đe dọa khi bật root trên điện thoại là gì và vì sao không thể ngăn chặn triệt để điều đó, đa số server hay desktop vẫn hoạt động ổn dù root được bật
  • Là [2024], và bài này có vẻ là bản nháp, có thể xem trên blog của tác giả: https://telefoncek.si/2024/05/2024-05-30-grapheneos-and-forensic-extraction-of-data/
  • Đọc xong tôi lại muốn mua một chiếc Pixel để cài GrapheneOS, dù có cho rằng các tập đoàn lớn ít nhiều vẫn có ý chí bảo vệ quyền riêng tư thì rốt cuộc họ vẫn rất dễ trở thành mục tiêu pháp lý, nếu ngày mai Mỹ hoặc EU thông qua luật bắt buộc mọi thiết bị di động phải có backdoor thì cả thế giới sẽ bị ảnh hưởng
    • Có thể thử với chi phí rất rẻ, tôi mua một chiếc Pixel 7 Pro tân trang trên eBay với giá 250 USD rồi cài GrapheneOS, đó là điện thoại chuyên dùng khi ra ngoài với gói eSIM 20 USD, nếu đang đi du lịch mà bị mất hoặc bị trộm cũng không cần quá bận tâm, chỉ cần hủy eSIM rồi mua một máy Pixel khác và cài lại GrapheneOS là xong, còn ở nhà thì điện thoại chính là Pixel 10 Pro vẫn an toàn nguyên vẹn
    • Nhân tiện, chính phủ Anh từng muốn buộc Apple tạo backdoor dựa trên Investigatory Powers Act năm 2016 nhưng Apple đã từ chối
    • Chiếc Pixel cuối cùng của tôi (4a) sau khoảng một năm rưỡi thì tình trạng xuống khá tệ, tôi tự hỏi có thiết bị Android nào bền hơn không, còn Apple SE thì tôi dùng nhiều năm vẫn không vấn đề gì nên cuối cùng lại quay về Apple, nhưng tôi vẫn rất muốn thử GrapheneOS
    • Tôi cũng muốn mua Pixel vì GrapheneOS, nhưng Google dù là công ty nghìn tỷ USD vẫn luôn khá hờ hững với việc bán hàng trên toàn cầu
  • Tôi có cảm giác nội dung này đang dùng suy đoán trên Internet để phản bác một suy đoán khác trên Internet, Cellebrite không công khai tình trạng hỗ trợ các thiết bị mới nhất nên người ngoài không thể biết chính xác họ đã tiến xa tới đâu với iPhone hay iOS mới, Pixel 9/10, hoặc Android OS mới nhất, nhưng điều cả hai công ty đều công khai là Apple cung cấp mã hóa đầu cuối nhiều hơn Google rất nhiều khi dùng Advanced Data Protection, và cả hai đều đầu tư vào bảo mật phần cứng và nền tảng, ví dụ như SEAR của Apple, bản thân sự tồn tại của GrapheneOS là điều tích cực nhưng riêng bài đăng này thì có vẻ không giúp ích thực tế lắm
    • Một tài liệu bị rò rỉ hồi đầu năm nay có cả Pixel 9, ít nhất theo tài liệu bị lộ tại thời điểm đó thì GrapheneOS được đánh dấu là Cellebrite không hỗ trợ nếu đã cài các bản vá sau năm 2022, và còn an toàn hơn cả firmware Google gốc, một trong những lý do GrapheneOS tránh được kiểu tranh cãi này là họ mạnh dạn áp dụng việc vô hiệu hóa cổng USB, điều mà Google ngại làm vì tính tiện dụng, khác với Google, Samsung và Apple (trong none-lockdown mode), GrapheneOS luôn yêu cầu mở khóa khi người dùng muốn kết nối điện thoại với ô tô, màn hình, USB nhớ, bộ chuyển jack 3.5mm v.v. nên họ ít phải đối mặt với phàn nàn hơn, ngoài ra để tăng cường bảo mật họ còn chấp nhận đánh đổi hiệu năng khi biên dịch để thêm nhiều tùy chọn khác nhau, và có giải thích cụ thể những trường hợp hiếm hoi nhưng thực tế mà các biện pháp đó đóng vai trò then chốt trong phòng thủ (ví dụ GrapheneOS), có thể chúng ta chưa biết trạng thái mới nhất của Cellebrite, nhưng việc họ không thể thực sự xử lý được GrapheneOS trong hơn 3 năm khiến tôi khá tin tưởng, dĩ nhiên GRU hay NSA có thể có những phương pháp tấn công ngoại lệ, nhưng tính đến hiện tại không có dấu hiệu nào cho thấy GrapheneOS đã bị phá bằng các công cụ thương mại bán trên thị trường
    • Có người vẫn liên tục rò rỉ tình trạng hỗ trợ của Cellebrite cho các nhà phát triển GrapheneOS, theo các mục đó thì tài liệu chính thức ghi rõ chỉ có thể hack GrapheneOS ở mức vá trước năm 2022, họ thậm chí đã có trong tay tài liệu mới nhất tới tháng 6 năm 2025 và nếu cần thì còn có thể lấy thêm, nhưng hiện tại có nhiều việc cấp bách hơn nên chưa định làm ngay, và họ cũng yên tâm vì nếu có diễn biến mới thì đầu mối nội bộ đang cung cấp tài liệu sẽ chủ động liên hệ ngay (liên kết)
  • Nếu đang cân nhắc chuyển từ iOS sang GrapheneOS thì hướng dẫn di chuyển và bài review này có thể hữu ích: https://blog.okturtles.org/2024/06/the-ultimate-ios-to-grapheneos-migration-guide-and-review/
    • Cũng có các dịch vụ đáng tin cậy như Ente có thể thay thế Apple Photos và Google Photos, ngoài ra còn nhiều lựa chọn khác
    • Hơi ngoài chủ đề một chút, nhưng tôi tò mò hiện GrapheneOS đang được duy trì bởi bao nhiêu thành viên, nếu Daniel Micay đột nhiên biến mất thì có sẵn người và hạ tầng để tiếp quản và tiếp tục phát triển ngay hay không
  • Với nhận định rằng "...bởi vì GrapheneOS đang tăng cường bảo mật trước các kiểu tấn công này nhiều hơn iOS. iPhone cũng có secure element nhưng kẻ tấn công đã lách được nó trong thời gian dài, Samsung và Qualcomm cũng vậy", tôi muốn biết liệu Pixel có thực sự chống brute-force tốt hơn hay không, và iPhone cùng các thiết bị khác có thực sự dễ bị các công cụ này phá hơn không
    • Tôi không đồng ý với cách đánh giá đó, dù rất tôn trọng GrapheneOS nhưng mỗi khi có phê bình thì đôi lúc vẫn xuất hiện những cách diễn đạt gần như quảng bá quá đà, các bài viết hay thông tin liên quan thường dựa trên bản rò rỉ danh sách hỗ trợ của Cellebrite, tức là các file trên thiết bị hành chính chứa dữ liệu lưu trữ, nên có thể khác nhau theo từng thời điểm, tính tới thời điểm bài viết được viết thì Cellebrite có thể truy cập bằng brute-force các iPhone trước iPhone 12, tức trước khi có thành phần secure storage, còn iPhone 12 thì đang ở giai đoạn nghiên cứu để phá các bản trước iOS 17, còn Android thì từ Pixel 6 trở đi, sau khi Titan M2 được đưa vào, là không thể brute-force, về nền tảng thì mô hình tin cậy của iPhone và Pixel gần như giống nhau: passcode của người dùng được trộn với entropy bảo mật để tạo khóa mã hóa, và bộ xử lý bảo mật sẽ giới hạn số lần thử, kiến trúc của Apple được mô tả rất rõ trong tài liệu chính thức, còn Weaver của Google cũng hoạt động tương tự, nhìn tổng thể thì tôi cho rằng cả iPhone mới nhất chạy iOS lẫn Pixel mới nhất + GrapheneOS đều cung cấp mức bảo vệ thuộc hàng đầu ngành, còn như bài viết nói thì hầu hết thiết bị và firmware khác bị bỏ xa khá nhiều về thiết kế phần mềm bảo mật như ROM, bootloader v.v.
    • Ngoại trừ chữ "dễ" thì phần lớn là đúng
  • Mối lo bảo mật đầu tiên tôi nghĩ tới là blob, tức các driver phần cứng đóng bắt buộc trên điện thoại Android, chúng chạy ở mức đặc quyền cao, nếu GrapheneOS không sandbox nghiêm ngặt các driver này thì một kẻ tấn công có kỹ năng có thể phá bảo mật thông qua backdoor trong driver wifi, modem hoặc Bluetooth, với các blob như thế thì về cơ bản nhà phát triển GrapheneOS cũng khó mà ngăn chặn triệt để, ví dụ có thể tưởng tượng driver wifi chặn lấy mã PIN nhập vào
    • GrapheneOS thực sự sandbox rất chặt cả những blob này, người dùng HN strcat có nhiều bài giải thích rất chi tiết về phần đó câu trả lời chi tiết của strcat
  • Chừng nào còn dùng cổng USB trên smartphone thì không thể bảo đảm an toàn tuyệt đối, đây chính là con đường mà các chính phủ muốn dùng làm backdoor, tôi khuyên mọi người hãy bỏ phiếu vì quyền riêng tư và vì tự do, tách khỏi quan điểm chính trị thì chính phủ vẫn âm thầm chi ngân sách cho việc này, trên các nền tảng như AWS có vô số nhà thầu phụ phân tích dữ liệu dump từ UFED, tức thư mục điện thoại được nén zip lại, bao gồm email, lịch sử cuộc gọi, cấu hình nhà mạng, lịch sử duyệt web, tin nhắn, cookie, ứng dụng, log ứng dụng, dữ liệu ứng dụng và mọi thứ có trong điện thoại
    • Theo nội dung TFA thì GrapheneOS cũng có thể vô hiệu hóa cổng USB
  • Về mặt kỹ thuật đây khá thú vị, tôi muốn đọc một bài so sánh việc áp dụng các công cụ pháp y số lên mọi hệ điều hành trong cấu hình bảo mật mạnh nhất của chúng để xem thực tế khác nhau như thế nào
    • Nếu nói "cấu hình bảo mật mạnh nhất" thì có lẽ là tắt nguồn và không kết nối với gì cả chăng?