GrapheneOS và trích xuất dữ liệu pháp y số (2024)

• GrapheneOS đang được chú ý nhờ bảo mật và quyền riêng tư cao, ở mức có thể sánh với iOS
• Vào tháng 5/2024, đã xuất hiện một chiến dịch tung tin sai lệch trên mạng xã hội rằng GrapheneOS dễ bị trích xuất dữ liệu
• Các công cụ pháp y như Cellebrite có thể thực hiện trích xuất không có sự đồng ý trên phần lớn thiết bị Android/iOS, nhưng GrapheneOS không bị xuyên thủng khi đã áp dụng bản vá bảo mật mới nhất
• Trích xuất dữ liệu dựa trên sự đồng ý (consent-based) là trường hợp người dùng tự mở khóa thiết bị mà họ sở hữu, và chỉ khi đó mới có thể trích xuất
• Tổ hợp Pixel 6 trở lên và GrapheneOS có thể chặn cả các kiểu tấn công mới nhất như brute-force mật khẩu và tấn công qua kết nối USB

Tổng quan về GrapheneOS và bối cảnh vụ tấn công trên mạng xã hội

• GrapheneOS là một hệ điều hành dựa trên Android, mã nguồn mở, tập trung vào bảo mật và quyền riêng tư, cung cấp mức bảo vệ ngang hoặc vượt iOS
• Vào tháng 5/2024, đã xảy ra một chiến dịch thúc đẩy hiểu lầm trên mạng xã hội rằng GrapheneOS đã bị công cụ pháp y phá vỡ
• Trên thực tế, đây là trường hợp trích xuất dữ liệu dựa trên sự đồng ý (consent) của người dùng bị cố tình diễn giải sai với ác ý, khiến GrapheneOS bị truyền đạt sai là có lỗ hổng

Tổng quan về pháp y số và trích xuất dữ liệu

• Pháp y số là quá trình thu thập và phân tích chứng cứ điện tử
• Quá trình này trích xuất và phân tích tài liệu liên quan đến chứng cứ tội phạm hoặc tranh chấp pháp lý từ nhiều loại thiết bị như máy tính, điện thoại thông minh và phương tiện lưu trữ
• Tuy nhiên, công nghệ pháp y có thể bị lạm dụng cho xâm phạm đời tư, trả đũa hoặc ngụy tạo chứng cứ
• GrapheneOS đang phát triển nhiều biện pháp bảo mật nhằm ngăn trích xuất dữ liệu không có sự đồng ý và chống can thiệp thiết bị

Cellebrite và ảnh hưởng của công ty này

• Cellebrite là công ty tiêu biểu trong lĩnh vực pháp y số có trụ sở tại Israel, nổi tiếng với công cụ UFED (Universal Forensic Extraction Device)
• Công ty bán thiết bị hợp pháp cho chính phủ và cơ quan tư pháp, nhưng cũng bán cho các quốc gia độc đoán hoặc đàn áp nhân quyền
• Công cụ này đã được dùng để thử trích xuất dữ liệu điện thoại thông minh ở nhiều khu vực trên thế giới

Phương thức trích xuất dữ liệu và nền tảng kỹ thuật

• Bước đầu tiên của pháp y số là trích xuất dữ liệu từ thiết bị di động
• Khi thiết bị đang bị khóa, người ta sẽ thử đoán mật khẩu/PIN bằng nhiều cách khác nhau như hack hoặc brute-force
• Hai trạng thái của điện thoại thông minh:
  • BFU (Before First Unlock): trạng thái chưa từng được mở khóa lần nào sau khi khởi động, dữ liệu bên trong được mã hóa hoàn toàn, nên rất khó cho phân tích pháp y
  • AFU (After First Unlock): trạng thái sau khi đã mở khóa, khóa được lưu trong bộ nhớ nên việc truy cập dữ liệu tương đối dễ hơn

Thực tiễn trích xuất dữ liệu ngoài hiện trường

• Trạng thái AFU: thử vượt qua hoặc mở khóa màn hình rồi trích xuất dữ liệu bằng cách khai thác lỗ hổng phần mềm
• Trạng thái BFU: thử đoán đúng PIN/mật khẩu bằng brute-force (thử mọi tổ hợp)

Năng lực trích xuất dữ liệu mới nhất của Cellebrite

• Theo tài liệu công bố vào tháng 4/2024, công ty có thể hack và trích xuất trên mọi thương hiệu Android ngoại trừ GrapheneOS, bất kể ở trạng thái AFU hay BFU

• Với các thiết bị iOS mới nhất cũng có hỗ trợ một phần; đa số người dùng iPhone được áp dụng bản vá mới tự động nên mức độ rủi ro giảm xuống

• NSO (hãng tạo ra Pegasus) từng có trường hợp khai thác lỗ hổng trên phiên bản iOS mới nhất với tốc độ rất nhanh

• GrapheneOS được chính thức thừa nhận là ngay cả Cellebrite cũng không thể hack nếu đã áp dụng các bản cập nhật bảo mật từ sau cuối năm 2022

• Do cập nhật được bật tự động, phần lớn người dùng vẫn duy trì mức bảo mật mới nhất

• Tuy vậy, nếu người dùng tự mở khóa thiết bị (consent-based), thì iOS, Android và GrapheneOS đều có thể bị trích xuất dữ liệu

  • GrapheneOS có thể cho phép truy cập toàn bộ dữ liệu thông qua tùy chọn nhà phát triển và công cụ adb

• Pixel 6 và các mẫu mới hơn + GrapheneOS không thể bị brute-force xuyên thủng ngay cả với thử ngẫu nhiên PIN 6 chữ số

Vụ tấn công trên mạng xã hội và sự thật

• Vào tháng 5/2024, trên mạng xã hội đã lan truyền các tuyên bố sai sự thật về lỗ hổng của GrapheneOS dựa trên các ca trích xuất thành công theo hình thức consent-based
• Trước đây cũng từng có các trường hợp tung tin giả tương tự, như tin đồn Signal bị phá mã hóa (thực tế là người dùng tự mở ứng dụng và cung cấp cho bên pháp y)

Chiến lược phòng thủ của GrapheneOS trước tấn công pháp y

Các tính năng chính để ngăn hack điện thoại

• Khi thiết bị đang ở trạng thái khóa (như screen lock), hệ thống cung cấp tính năng chặn kết nối USB mới và chặn cổng ở cấp độ phần cứng
• Có thể cấu hình chặn hoàn toàn USB đến mức người dùng mong muốn trong nhiều kịch bản như BFU, AFU hoặc khi đã mở khóa hoàn toàn
• Từ năm 2024, ngay cả firmware của Pixel cũng đã được tăng cường bảo mật

Phòng thủ trước tấn công brute-force

• Các thiết bị Pixel 6 trở lên được trang bị Titan M2 (mô-đun bảo mật phần cứng) để bảo vệ khóa mã hóa
• Sau 5 lần nhập sai phải chờ 30 giây; sau khi vượt 30 lần và 140 lần, thời gian chờ tiếp tục tăng; sau đó chỉ cho phép nhập 1 lần mỗi ngày (secure element throttling)
• Đã vượt qua đánh giá độc lập cấp AVA_VAN.5, chứng minh mức bảo mật cực cao
• Các mô-đun bảo mật của iOS, Samsung và Qualcomm đã từng bị các tác nhân tấn công cấp doanh nghiệp vượt qua, nhưng tổ hợp GrapheneOS + Pixel 6 trở lên không có ca thành công nào trong vài năm gần đây

Tính năng tự khởi động lại (auto reboot)

• Sau mặc định 18 giờ (có thể tùy chỉnh từ 10 phút trở lên), thiết bị sẽ tự khởi động lại; nếu không dùng, nó sẽ quay về trạng thái BFU
• Vì vậy, ngay cả khi hacker phát triển được exploit thì cửa sổ thời gian có thể tấn công thực tế cũng chỉ bị giới hạn trong khoảng từ lúc người dùng mở khóa đến trước khi máy khởi động lại

Kết luận và triển vọng sắp tới

• Đội ngũ GrapheneOS đang liên tục tăng cường nhiều lớp gia cố bảo mật và các tính năng bảo mật tự động
• Trong tương lai, dự kiến sẽ đưa vào các biện pháp bảo vệ mạnh hơn nhưng vẫn tiện dụng hơn như xác thực hai bước bằng vân tay + PIN, UI tự động với passphrase ngẫu nhiên
• Trong bối cảnh các nhóm tấn công tinh vi vẫn chưa thể xuyên thủng nhưng thông tin sai lệch lại được phát tán, thông tin dựa trên sự thật có thể giúp phòng vệ trước điều đó