手机开机密码破解浅析
[编者按] 随着智能手机的普及,手机软、硬件能力的快速提升,上网浏览、支付消费、沟通聊天等操作日益普遍,手机数据的隐私保护也逐渐受到重视。人们开始为手机设置开机密码,同时关闭手机数据传输通道。那么,当密码遗忘或需要数据取证时,在保证数据安全的前提下,如何能将密码去除、破解或绕过呢?本文就根据设置开机密码手机的不同,按照苹果、安卓、功能机三大类,介绍手机的开机密码破解技术。
一、苹果系统开机密码
图1-1 ios开机密码
苹果手机开机密码的设置,在iOS系统中,”设置”菜单下”通用”-“密码锁定”可以打开简单4位数字密码(如上图左侧)和高级密码(如上图右侧)。苹果同时提供“抹掉数据”功能.即当用户输入密码十次后,系统将抹掉该手机中的全部用户数据。
苹果手机系统中看似简单的开机密码其实并不简单,它关联着底层所有数据的加密算法。一旦设置后,芯片中的所有数据将根据本密码联动加密,即使用实验室级别设备进行芯片级提取都需要本密码解密。
根据苹果手机软硬件版本的不同,目前可以分为如下五种情况:
1.iPohone4s以前的手机,目前都可以基于DFU专用模式进行破解,EDEC狼蛛系列现场设备即可完成。
2.针对苹果系统软件为ios7苹果设备,则可利用EDEC狼蛛ios专用破解设备,实现4位简单密码的暴力破解,破解时间在2小时内完成。还可以针对高级密码,设置字典库进行字典攻击。尤其是针对上面提到的10次抹掉用户数据的设置选项,还可以利用实验室设备,进行相关的防范,保证数据的安全。
3.如果拥有与当前苹果手机联接过的电脑,则可以进行开机密码绕过,利用电脑中iTunes联接过的Lockdown文件实现密码绕过,得到手机中的数据。
4.如果目标手机曾经越狱,则可以利用专用苹果套件针对越狱苹果手机进行物理提取,支持的最新版本为ios8.3.4。
5.如果目标手机曾经在iCloud数据进行过备份,也可以直接从云中提取数据,本方法与手机开机密码已经无关,只是利用专用软件进行iCloud备份数据进行破解与提取。
二、安卓系统开机密码
图1-2 安卓系统开机密码
安卓系统由于其自身开放性,开机密码的设置看似复杂有多种模式,但就其原理仅仅一种中等安全程度的密码锁,底层数据本身并不加密,开机密码相关哈希文件存储在机身数据分区中,移动或删除该文件即可完成破解。
根据手机软硬件版本的不同,可以分为如下五种破解方式:
1.MTP方式:
高通CPU 安卓系统4.3版本以前手机,开机状态下即可利用手机开启了MTP(便携式多媒体)连接设备选项的通路进行密码破解。EDEC狼蛛系列现场设备即可实现秒破。
2.Recovery方式:
根据手机硬件型号找到对应的第三方Recovery程序,注意要匹配到硬件版本,否则可能造成恢复模式启动失败等情况。EDEC狼蛛系列现场设备目前支持主流手机近千款自动下载刷机包并进行密码破解。
3.META方式:
针对MTK cpu的安卓手机,系统预留META模式,可以在系统冷启动时进行密码破解,强制打开USB调试等操作,EDEC狼蛛中的安卓密码工具目前支持目前MTK主流最新CPU(6595/6795/6735/6753/6752)手机META模式下的密码破解,物理镜像等操作。
4. Chip Off方式:
由于安卓开机密码对芯片底层文件并不加密,因此,可以直接绕过系统,进行芯片级别数据提取与恢复,EDEC狼蛛系列实验室设设备中涵盖了90%以上市面手机的芯片读取适配装置,帮助您绕开系统,实现数据提取。
5.Jtag方式:
针对安卓手机中少量的加锁硬件版本,加锁后无法进行Recovery替换破解,可以过系统预留Jtag/Jsp接口进行手机底层数据直接提取,EDEC狼蛛系列实验室设备中包含当前主流Jtag设备,将协助完成此类案件中数据提取与密码破解。
三、 功能机开机密码:
功能机除了大家熟知的国产山寨机,还有一些功能简单的如Nokia 10XX系列手机。此类手机的开机密码破解主要可根据硬件方案的不同进行密码绕过物理提取的目的,有如下两类:
1.MTK,展讯等国产CPU方案,主要有新旧不同平台,EDEC狼蛛中最早出现的国产模块已经更新到了第三代,支持最早到最新的国产CPU平台,数据线自动侦测到最新的USB线直联方式绕过密码提取数据。
2.Nokia等国际品牌功能机,根据型号的不同,有50%以上也可以利用EDEC狼蛛国产模块尝试绕过密码提取机身数据。
苹果系统密码种类
苹果手机系统本身涉及的密码为三个:
1.系统激活、iCloud和付款相关的AppleID密码
2.最常见的设备开机密码Passcode密码
3.最容易忽视的日渐增多的iTunes备份密码
下面针对以上三个密码及其在数据检验过程中所扮演的角色、如何利用、如何破解逐一做详细介绍。
从ios7开始,苹果开启手机系统在初始化阶段必须强制激活AppleID,而且强化了“找回我的iPhone”机制,利用AppleID登录iCould后就可以网络定位和强制抹除对应AppleID下的iOS设备。 AppleID本身是一个以邮箱帐户做为iCould登录用的ID,密码长度要求较为苛刻。 至少包含一个小写字母; 至少包含一个大写字母; 至少包含一个数字; 不能包含多个连续的相同字符; 不可与帐户名称相同; 至少包含8个字符; 不可是常见密码; 因此,这个密码本身强度非常大,对应的密码空间也非常巨大,且没有相关暴力破解的手段被发现。即便如此,目前最新的检验产品可提供如下两种手段: 1.iCould 令牌实现密码绕过 如果目标手机用户在Windows或者Mac电脑上一定时间内登录过iCloud,在电脑中就将保存相关令牌文件,检验软件(如Elcomsoft Phone Password Breaker)就可直接利用进行iCloud备份数据下载。 2.AppleID密码重置 由于苹果AppleID本身就是注册邮箱,在重置AppleID时苹果是采用直接发送重置邮件到对应ID的邮箱,因此,如果拥有或可以暴力破解邮箱密码后,即可通过密码重置手段绕过AppleID。重置后就可以下载对应iOS设备iCloud备份。 综上,AppleID由于控制着iCloud的入口,相关iCloud的备份下载是AppleID的主要应用场景。但如果目标手机的iCloud备份从未上传成功过,也就不会获取得到任何数据。同时应注意,iCloud具有远程抹掉iPhone数据功能和丢失模式远程锁手机(如图所示)。因此,手机数据检验从流程开始,就一定要保证物理隔绝,否则就有数据被远程抹除的风险。 苹果手机开机密码的设置,在iOS系统中,”设置”菜单下”通用”-“密码锁定”可以打开简单4位数字密码(如上图左侧)和高级密码(如上图右侧)。最新的iOS版本提供了任意长度的数字密码,给用户更多的自由。苹果同时提供“抹掉数据”功能,即当用户输入密码10次后,系统将抹掉该手机中的全部用户数据。 苹果手机系统中看似简单的开机密码其实并不简单,它关联着底层所有数据的加密算法。一旦设置,芯片中的所有数据将根据此密码联动加密,即使用实验室级别设备进行芯片级提取都需要此密码解密。 开机密码的破解以前讨论比较多,这里就不再赘述。仅简单总结一下,根据苹果手机软硬件版本的不同,目前针对开机密码Passcode的直接或间接破解可分为以下五种情况: 1.iPohone4s以前的手机,目前都可以基于DFU专用模式进行破解,如EDEC狼蛛系列现场设备即可完成。 2.针对苹果系统为iOS7苹果设备,可利用EDEC狼蛛iOS专用破解设备,实现4位简单密码的暴力破解,2小时内完成破解。还可以针对高级密码,设置字典库进行字典攻击。尤其是针对上文提到的10次抹掉用户数据的设置选项,可利用实验室设备,进行相关的防范,保证数据的安全。 3.针对iOS8.0 –iOS8.1的特定版本苹果设备,在拆机的情况下,可利用断电不记数的漏洞,在专用破解设备协助下进行破解。 4.TouchID。指纹锁的转印,利用传统刑事技术手段,复制指纹进行破解。 5.高清摄像头。利用高清摄像头捕捉的解锁动作,配合人体工程学进行密码推算。 iTunes备份密码,在备份到本地时,用户可随意添加,长度不限制,字符不限制,大小写敏感。这个密码项目,之前很多用户都没有添加,默认为空,但随着人们的安全意识越来越强,越来越多的人设置了备份密码,而且这个密码在任意一台电脑添加后,将在手机中保留,之后的所有备份,都将加密。 针对iTunes备份密码的暴力破解与绕过,目前成熟的方案有如下三种: 1.针对有备份密码的手机,可直接利用软件(如Oxygen)在iTunes备份后,自动进行密码暴力破解。针对iTunes备份文件本身,检验软件(如Elcomsoft)也可利用GPU等硬件加速进行密码的暴力破解,破解速度根据硬件情况可达几万到几十万次,6位数字+字符密码将在1小时内完成全部密码空间的破解运算。 2.如目标手机曾经越狱,则可利用专用苹果套件针对越狱苹果手机进行物理提取。 3.针对有备份密码、未越狱的手机,利用iTools等免费工具的APP文件共享方式获取某些特定开启文件共享的APP数据。
iCloud远程登录控制
iOS开机密码Passcode
iOS开机密码Passcode