GrapheneOS y la extracción forense de datos (2024)

• GrapheneOS llama la atención por su alto nivel de seguridad y privacidad, comparable con iOS
• En mayo de 2024 ocurrió en redes sociales un ataque de desinformación que afirmaba que GrapheneOS era vulnerable a la extracción de datos
• Herramientas forenses como Cellebrite permiten extracción sin consentimiento en la mayoría de los dispositivos Android/iOS, pero GrapheneOS no ha sido vulnerado cuando tiene los parches de seguridad más recientes
• La extracción de datos basada en consentimiento ocurre cuando el usuario desbloquea un dispositivo de su propiedad; solo en ese caso la extracción es posible
• La combinación de Pixel 6 o superior con GrapheneOS también bloquea ataques recientes como fuerza bruta de contraseñas y hackeo por conexión USB

Resumen de GrapheneOS y contexto del ataque en redes sociales

• GrapheneOS es un sistema operativo basado en Android, de código abierto y centrado en la seguridad y la privacidad, que ofrece una protección al nivel de iOS o incluso superior
• En mayo de 2024 hubo un ataque en redes sociales que promovió la idea errónea de que GrapheneOS había sido vulnerado por herramientas forenses
• En realidad, fue un caso en el que se interpretó mal de forma maliciosa una extracción de datos basada en consentimiento del usuario, transmitiendo falsamente que GrapheneOS era vulnerable

Resumen de la informática forense digital y la extracción de datos

• La informática forense digital es el proceso de recopilación y análisis de evidencia electrónica
• En este proceso se extraen y analizan materiales relacionados con delitos o disputas legales desde diversos dispositivos como computadoras, smartphones y medios de almacenamiento
• Sin embargo, las técnicas forenses pueden usarse indebidamente para invadir la privacidad, tomar represalias o manipular evidencia
• GrapheneOS desarrolla diversas medidas de seguridad con el objetivo de evitar la extracción de datos sin consentimiento y la manipulación del dispositivo

Cellebrite y su impacto

• Cellebrite es una empresa israelí representativa del sector de la informática forense digital, conocida por su herramienta UFED (Universal Forensic Extraction Device)
• Vende legalmente sus equipos a gobiernos y organismos judiciales, pero también a Estados autoritarios o con historial de represión de derechos humanos
• Con esta herramienta se han realizado intentos de extracción de datos de smartphones en distintas regiones del mundo

Métodos de extracción de datos y contexto técnico

• La primera etapa de la informática forense digital es la extracción de datos de dispositivos móviles
• Si el dispositivo está bloqueado, se intenta adivinar la contraseña o el PIN por varios métodos, como hackeo o fuerza bruta
• Dos estados de un smartphone:
  • BFU (Before First Unlock): estado en el que no se ha desbloqueado ni una vez desde el arranque; los datos internos están completamente cifrados, por lo que el análisis forense resulta muy difícil
  • AFU (After First Unlock): después del desbloqueo, las claves se guardan en memoria y el acceso a los datos se vuelve relativamente más fácil

Práctica real de extracción de datos

• Estado AFU: se intenta extraer datos usando vulnerabilidades de software, evasión o desbloqueo de pantalla
• Estado BFU: se intenta adivinar el PIN o la contraseña mediante fuerza bruta (probar todas las combinaciones)

Capacidades recientes de extracción de datos de Cellebrite

• Según material publicado en abril de 2024, puede hackear y extraer datos de todas las marcas Android excepto GrapheneOS, sin importar si están en estado AFU o BFU

• También hay soporte parcial para dispositivos iOS recientes, y en la mayoría de los iPhone el riesgo disminuye porque los parches más recientes se aplican automáticamente

• NSO (fabricante de Pegasus) ha mostrado casos en los que explota con gran rapidez vulnerabilidades de las versiones más recientes de iOS

• GrapheneOS reconocidamente no puede ser vulnerado ni siquiera por Cellebrite si tiene aplicadas las actualizaciones de seguridad desde fines de 2022

• Como las actualizaciones automáticas están habilitadas por defecto, la gran mayoría de los usuarios mantiene la seguridad más reciente

• Sin embargo, si el usuario desbloquea manualmente el dispositivo (basado en consentimiento), entonces sí es posible extraer datos en iOS, Android y GrapheneOS

  • En GrapheneOS se puede acceder a todos los datos mediante opciones de desarrollador y la herramienta adb

• La combinación de Pixel 6 y modelos posteriores + GrapheneOS no puede ser vulnerada por fuerza bruta ni siquiera con todas las combinaciones posibles de un PIN de 6 dígitos

El incidente del ataque en redes sociales y la realidad

• En mayo de 2024 se difundieron en redes sociales afirmaciones falsas de vulnerabilidad basadas en un caso exitoso de extracción con consentimiento en GrapheneOS
• En el pasado también hubo casos similares de desinformación, como el rumor de que se había roto el cifrado de Signal (cuando en realidad el usuario abrió la app manualmente y la entregó al análisis forense)

Estrategia de defensa de GrapheneOS frente al hackeo forense

Funciones principales para evitar el hackeo del teléfono

• Cuando el usuario mantiene el dispositivo bloqueado (por ejemplo, con bloqueo de pantalla), ofrece una función para bloquear nuevas conexiones USB y bloquear el puerto a nivel de hardware
• En escenarios como BFU, AFU o desbloqueo completo, se puede configurar el bloqueo total de USB hasta el nivel que el usuario desee
• Desde 2024, la seguridad se reforzó incluso hasta el firmware de Pixel

Defensa contra ataques de fuerza bruta

• Los dispositivos Pixel 6 en adelante incluyen Titan M2 (módulo de seguridad por hardware), que protege las claves de cifrado
• Tras 5 intentos fallidos hay una espera de 30 segundos; al superar 30 y 140 intentos, el tiempo de espera aumenta respectivamente; después solo se permite 1 intento por día (secure element throttling)
• Ha superado evaluaciones independientes como el nivel AVA_VAN.5, demostrando una seguridad extremadamente robusta
• Los módulos de seguridad de iOS, Samsung y Qualcomm ya han sido evadidos por atacantes corporativos, pero la combinación GrapheneOS + Pixel 6 o superior no tiene casos exitosos conocidos en los últimos años

Función de reinicio automático (auto reboot)

• Se reinicia automáticamente tras 18 horas por defecto (ajustable desde 10 minutos) y, si no se usa, vuelve al estado BFU
• Por eso, aunque un hacker desarrolle un exploit, la ventana real de ataque queda limitada al tiempo entre el desbloqueo por parte del usuario y el reinicio

Conclusión y perspectivas futuras

• El equipo de GrapheneOS sigue reforzando de forma continua varias mejoras de seguridad y funciones de seguridad automatizadas
• A futuro planea incorporar medidas de protección aún más sólidas y convenientes, como autenticación en dos pasos con huella + PIN y UI automática de passphrase aleatoria
• Aunque se intenta difundir desinformación pese a que grupos de hacking sofisticados no han logrado vulnerarlo, la información basada en hechos puede servir para contrarrestarlo