Эксперты-криминалисты давно используют метод заморозки для снятия информации из оперативной памяти персонального компьютера. Теперь эту технику впервые применили в отношении мобильных телефонов Android.
Пара исследователей Тило Мюллер (Tilo Mueller) и Михаэль Шпрейтзенбарт (Michael Spreitzenbarth) из университета Эрлангена–Нюрнберга (Германия) продемонстрировали технику атаки «холодной загрузкой» на телефон Samsung Galaxy Nexus с последней версией Android. Они назвали свой метод FROST (Forensic Recovery Of Scrambled Telephones). Просто охладив телефон до температуры –15°C и перезагрузив его, они смогли получить доступ к информации во встроенной памяти, включая фотографии, почтовые сообщения и историю сёрфинга. Более того, в некоторых случаях из фрагментов оперативной памяти можно даже извлечь ключ шифрования, который использовался для защиты зашифрованного раздела в памяти телефона.
Чтобы снять дамп оперативной памяти, исследователи взяли включенный телефон, заморозили его, после чего вынули и вставили батарею, удерживая клавиши Power и Volume. Кратковременное изъятие батареи на 500 миллисекунд инициировало перезагрузку аппарата, а при нажатых клавишах Power и Volume он входит в меню fastboot, откуда можно загрузить frost.img и снять дамп памяти c Linux-компьютера, подключённого по USB.
Все необходимые файлы для повторения операции исследователи опубликовали в открытом доступе:
frost.pdf: технический отчёт
frost.gnex.img: recovery image для Galaxy Nexus
frost.lkm.tgz: исходный код загружаемого модуля
frost.crackpin.tgz: исходный код двоичного файла для взлома пинкода
Опубликовано также иллюстрированное пошаговое руководство.
На иллюстрации из технического отчёта показано, сколько процентов памяти (по оси y) необратимо теряется при разной температуре за несколько секунд (по оси x) с момента потери питания.
