Archivi tag: cellebrite

Cellebrite Unlock Services - CAIS

Cellebrite conferma lo sblocco di iPhone 6, 6S ed SE con iOS 10

Cellebrite Unlock Services - CAISCellebrite è in grado di sbloccare iPhone 5S, 6, 6S ed SE anche se protetti da PIN o password, con iOS fino alla versione 10.*. Lo comunica ufficialmente nella pagina dedicata agli Unlock Services dei dispositivi Apple e Samsung, pubblicata contestualmente al rinnovo del sito web avvenuto nei giorni scorsi e lo conferma nella brochure linkata dalla pagina stessa.

Capabilities & Benefits
Unlock and extract all available data from the latest iOS devices
Cellebrite is the only partner who can help you overcome the locks on Apple iPhone 4S, 5, 5c, 5S, 6, 6S, and SE, plus equivalent iPad/iPod touch models, such as iPad 2, 3rd/4th Gen, iPad mini 1st Gen, 2, 3, 4, iPad Air, Air 2, and iPod touch 5th/6th Gen, for all available supported versions of iOS 8, iOS 9, and iOS 10.*.

Il nuovo sito Cellebrite, società israeliana specializzata in mobile forensics, è stato pubblicato da poco ma risulta ben organizzato in contesti “Law Enforcement”, “Military & Intelligence” e “Corporate Investigations”. Notiamo che il servizio CAIS è riportato soltanto nella sezione “Law Enforcement” -> “Court”, a conferma del fatto che lo sblocco di iPhone bloccati da PIN o password non viene fornito a privati o aziende, se non dietro autorizzazione e decreto di un PM o di un Giudice.

Nuovo sito Cellebrite e Servizio di Sblocco iPhone e Samsung CAIS

Per gli addetti ai lavori la notizia dello sblocco degli iPhone a 64 bit come l’iPhone 6 in realtà non è del tutto nuova, dato che a febbraio 2017 con un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, aveva annunciato pubblicamente che Cellebrite era in grado di trovare il PIN o la password degli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli.

Pochi mesi dopo, durante il webinar di marzo 2017 sulle potenzialità investigative dei prodotti Cellebrite, Dan Embury, Direttore del laboratorio, Cellebrite Advanced Investigative Services (CAIS), aveva aggiunto di essere in grado di sbloccare Apple iPhone 4S/5/5C, iPad 2/3/4 e iPod Touch 5G fino a iOS 10, anche se bloccati su schermata di “Connect to iTunes” o “xxx Minutes”.

Sblocco PIN di iPhone 4S, 5 e 5C da parte di Cellebrite

Per per quanto riguardava gli iPhone a 64 bit, cioè gli iPhone 5S, 6 e 6Plus le possibilità di sblocco dal PIN o della password di Apple iPhone erano possibili soltanto fino ad iOS 9, sempre con la funzionalità di sblocco di iPhone disabilitati con messaggio di “Connetti ad iTunes” o “Riprova tra xx minuti”.

Sblocco PIN di iPhone 5S, 6 e 6 Plus con Cellebrite CAIS Services

Tra l’altro, nel webinar Dan Embury dice due cose interessanti circa lo sblocco degli iPhone 7 e l’acquisizione fisica degli iPhone in generale: “In terms of the 64bit devices – so we are talking about the iPhone 5s, the 6 and 6plus, and obviously the newer 6S  and iPhone 7 as well, we can currently support iOS 8 and 9, we’re the the only ones, to our knowledge, who can produce full file system extraction, so we’re not quite there for a full physical extraction, but ultimately be the way that the files are stored in the iPhone device, once a image or video is deleted, the keys are thrown away immediately, so even if you were to get a full physical, the chance of recovering a deleted picture or a deleted video is essentially zero. The data would still be there, in an encrypted state, but the keys have been discarded almost immediately by the Apple Operating System and nothing would be recoverable.“.

Da quanto riportato nel webinar, quindi, sembra che anche iPhone 7 potrebbe essere presto incluso – sempre se non lo è già – tra i dispositivi compatibili per lo sblocco PIN/Password da parte di Cellebrite mentre risulta chiaro che l’acquisizione che viene eseguita dagli strumenti forensi Cellebrite come UFED è di tipo “filesystem” ma, per come vengono memorizzati i file sui dispositivi Apple, si tratta del tipo di acquisizione più vicino a una “physical”.

Negli ultimi mesi abbiamo poi assistito a diverse notizie di sblocco di dispositivi Apple in casi come quello dello sblocco dell’iPhone 6 dei ricattatori della Sig.ra Julieanna Goddard di Miami, che hanno rifiutato di fornire le credenziali di unlock dell’iPhone prontamente sbloccato dalla Cellebrite. O ancora il caso dello smartphone della ragazza spagnola scomparsa l’anno scorso, Diana Quer, un iPhone 6 con iOS 8 rimasto sul fondo marino, recuperato e “sbloccato dopo circa un anno da Cellebrite per 2.000 euro”, come dichiarato dalla madre durante un’intervista alla TV.

Cellebrite avverte i visitatori del sito d’informarsi presso i rivenditori per conoscere le capabilities del servizio CAIS, visti i repentini aggiornamenti delle tecnologie e delle possibilità di sblocco, intanto ha rimosso la vecchia pagina web, dove fino a pochi giorni fa si parlava ancora dei limiti dello sblocco degli iPhone fino al 5c e con iOS al massimo fino alla versione 9.*.

L’ATO, Cellebrite e il “leak” della Guida sull’Hacking degli Smartphone

Alcuni giorni fa è uscita su diverse testate giornalistiche di rilievo la notizia della pubblicazione su Linkedin, da parte di un impiegato dell’Ufficio delle Tasse Australiano (ATO), di una guida di hacking degli smartphone [WBM, AI] che spiega passo dopo passo come forzare i cellulari, anche se protetti da PIN. A quanto riportano ad alcune fonti, l’impiegato proverrebbe da task force d’Intelligence e avrebbe fatto delle ricerche sul Dark Web per il Governo [WBM, AI], aggiungendo che altrimenti non si spiega come riesca a forzare le password di cellulari anche se con batteria scarica e persino senza scheda SIM, così da poter recuperare dati anche cancellati, messaggi di testo ed elenco chiamate con strumenti tra i quali quelli prodotti dall’israeliana Cellebrite.

Leak dell'Australian Tax Office di un manuale con tecniche di hacking avanzate

La popolazione australiana si è indignata, temendo che il loro equivalente della nostra Agenzia delle Entrate potesse “spiare” il reddito personale entrando di soppiatto nei cellulari, anche protetti da password. Il Ministro della Giustizia, Michael Keenan, si è detto seriamente preoccupato di questo “leak” dell’Ufficio delle Tasse che illustra le metodologie e gli strumenti di hacking dei telefonini. L’impiegato dell’Ufficio sembra aver subito provvedimenti disciplinari o come minimo un rimprovero e ciò che è certo è che ha rimosso in neanche un’ora la guida e buona parte dei suoi profili sui social network (Linkedin, SlideShare, etc…) mentre l’Ufficio delle Tasse era sommerso di contatti da parte dei giornali.

Ramez Katf, il Direttore Tecnico dell’ATO (Australian Tax Office) ha dichiarato che “l’Ufficio delle Tasse non entra di nascosto negli smartphone dei cittadini e che la parola “hacking” forse è un po’ esagerata, l’Agenzia delle Entrate Australiana non agisce da remoto e comunque non fa nulla di nascosto, senza cioè un Decreto dell’Autorità Giudiziaria”. Katf aggiunge che “è vero, uno dei software citato nelle slide viene effettivamente utilizzato, ma soltanto per indagini su larga scala su frodi o attività criminale e sempre su mandato delle Autorità, senza peraltro agire da remoto, i dispositivi vengono infatti prima prelevati o sequestrati tramite un Decreto del Giudice e poi, tramite il software di acquisizione forense per smarthpone, vengono acceduti i contenuti”. Insomma, la situazione è meno terribile di quanto non sia stata dipinta dai giornali, lascia intendere. “Anche quando viene forzato il PIN o la password di uno smartphone”, continua Katf, “c’è sempre l’autorizzazione dell’Autorità Giudiziaria o il consenso del proprietario del cellulare”. Alcune testate giornalistiche sono persino arrivate http://www.abc.net.au/news/2017-07-12/tax-office-slip-up-reveals-new-phone-hacking-capabilities/8698800

Per qualche giorno le condivisioni di post sull’argomento si sono sprecate, ma nessuno ha approfondito il contenuto effettivo di questa guida (rimossa, appunto, di tutta fretta) e se davvero rappresentasse un pericolo per la sicurezza dei cittadini. Vediamo di recuperare, tramite tecniche OSINT, ciò che rimane di questa guida e del profilo del povero impiegato dell’Ufficio delle Tasse, per scoprire che è tutto un equivoco: la guida di hacking non è altro che una presentazione divulgativa che parla di ciò che gli informatici forensi e gli esperti di sicurezza conoscono ormai da anni.

Google, come sappiamo, memorizza una cache – una sorta di “copia” – delle pagine web che indicizza, che utilizza per poter mostrare agli utenti quale versione della pagina lui sta presentando nei motori di ricerca e su quali parole chiave si basa. A meno che non si provveda alla rimozione manuale dei risultati di ricerca, è spesso possibile accedere alla cache di Google anche per diversi giorni dopo che la pagina indicizzata è scomparsa. Nel caso delle presentazioni SlideShare pubblicate da Linkedin, la pagina cache non conterrà l’intera presentazione ma ne riporterà integralmente il testo, proprio per ragioni d’indicizzazione.

Bene, cercando negli indici di Google le informazioni riportate dai giornali, arriviamo a una presentazione intitolata “Hexadecimal Extraction Theory –Mobile Forensics II“, che tradotta viene più o meno “Teoria dell’Estrazione Esadecimale, Analisi Forense di Dispositivi Mobili 2” di cui viene riportata, dai newspaper, una slide considerata la più significativa.

Pros and Cons of the Shoe Boxes

La pagina contenente la presentazione su SlideShare non esiste più, è stata rimossa dall’utente, ma si può ancora osservare il profilo dell’autore, che si dichiara esperto in Computer Forensics e conoscitore di strumenti d’informatica forense come Encase, X-Ways Forensics, Nuix e Access Data. La pagina punta al profilo Linkedin, anch’esso rimosso, ancora presente però come indice nella cache di Google inclusa la descrizione “Australian Taxation Office”, senza versione cache.

Profilo Linkedin dell'impiegato accusato di aver pubblicato un leak

La presentazione “Hexadecimal Extraction Theory –Mobile Forensics II” è già scomparsa anche dalla cache di Google, se ne trova però una copia su Archive.is dalla quale possiamo ricavare i titoli delle slide considerate così “pericolose” dalle testate giornalistiche:

  • Pros and Cons of the Shoe Boxes
  • Phone Forensics Tools Software
  • XRY VS Shoe box XRY Positive
  • Information required to perform a hex dump
  • Locating information before commencing the hex dump
  • Using Shoe box (UFSx series)
  • Free tools
  • Scenario 1 Extract data from Damaged Nokia phone
  • Using FTK imager to create MD5 hash for extracted mobile data file
  • Date and Time Calculations Date and time entry & Patten
  • HEX examiner examples
  • Exercise 2– Breaking the Hex code using Hex examiner
  • Security key
  • Call records S30’s
  • SMS S40’s
  • Protocol Data Unit (PDU)

Leggendo il contenuto delle slide, si nota come l’autore si limita a presentare alcune delle soluzioni più note in ambito di mobile forensics, disciplina che comprende tecniche e metodologie utilizzate in ambito di perizia informatica per acquisizione forense e recupero dati anche cancellati da cellulare. L’autore presenta vantaggi e svantaggi degli strumenti principali come XRY, Shoe Box, SarasSoft, NAND Downloader, Pandora’s box, HEXexaminer, FTK Imager, Cellebrite, XACT e simili. Si parla di conversione di dati tra diversi formati, metadati EXIF e coordinate GPS, estrazione di dati da cellulari Nokia danneggiati, calcolo dei valori hash tramite FTK Imager per una corretta catena di conservazione.

Salta subito all’occhio che i dati non sono neanche aggiornati: nell’illustrare le diverse codifiche di rappresentazione delle date l’autore cita Blackberry, Nokia e Motorola, tutti praticamente scomparsi, menzionando di sfuggita Samsung e ignorando completamente Apple con i suoi iPhone e iPad. Gli esempi di utilizzo degli strumenti di mobile forensics, tra l’altro, riguardano Nokia S30 e S40, che ormai non si trovano più neanche nei negozi dell’usato.

D’altra parte è chiaro che il target non è prettamente tecnico e quindi i contenuti non sono di alto livello, altrimenti non verrebbe dato peso al fatto che si possono recuperare dati anche da cellulari senza scheda SIM o danneggiati, entrambe cose ormai note a chiunque.

Per chi le cercasse, non ci sono istruzioni passo passo su come entrare in un telefonino e forzare la password da remoto, né guide di hacking avanzato, soltanto elenchi di strumenti con pro e contro, esempi di conversione stringhe e bypass di PIN e password per eseguire attività di acquisizione forense e recupero dati da vecchi cellulari.

Per quanto i giornali vi abbiano dato molto peso, l’israeliana Cellebrite non c’entra nulla con questa faccenda: il loro marchio viene citato una sola volta nelle slide dell’impiegato dell’Ufficio delle Tasse mentre viene data più importanza ad altri tool o metodologie, anche gratuite.

Speriamo quindi che l’impiegato (che non abbiamo voluto citare per mantenere un minimo di anonimato, benché sia facilmente reperibile in rete il suo nome) possa tornare a una vita normale e riaprire il suo profilo su Linkedin dopo questa avventura, continuando a fare divulgazione in ambito di digital e mobile forensics ma sperando di non cadere nuovamente in malintesi che rimbalzando di giornale in giornale aumentano in modo incontrollato la loro portata.

Textalyzer di Cellebrite permette analisi forense degli smartphone in caso d'incidente stradale

Textalyzer, analisi forense degli smartphone per prevenire incidenti stradali

Circa un anno fa la società israeliana Cellebrite – produttrice di uno dei software maggiormente utilizzato in ambito di mobile forensics – ha annunciato lo sviluppo di textalizer, un’applicazione che permetterà alle Forze dell’Ordine di verificare se un cellulare è stato utilizzato di recente per inviare o ricevere SMS o messaggi di chat come Whatsapp o Telegram.

Textalyzer di Cellebrite permette analisi forense degli smartphone in caso d'incidente stradale

L’idea è quella di affiancare i test della percentuale di alcool nel sangue tramite etilometro con quelli di utilizzo del cellulare, a seguito d’incidenti stradali o preventivamente, con controlli a campione da parte della Polizia Stradale. Così come l’etilometro misura la percentuale di alcool nel sangue, il “textometro” (non esiste ancora traduzione ufficiale) misura l’attività del cellulare negli ultimi minuti, in particolare relativamente all’utilizzo di strumenti di chat, invio o ricezione messaggi di testo SMS. In caso d’incidente, quindi, le Forze dell’Ordine sono così in grado di valutare le condizioni degli autisti anche in merito a eventuale utilizzo di cellulare alla guida, non soltanto per telefonate ma anche per scrivere o leggere messaggi di testo.

Lo strumento non è una novità, Cellebrite fornisce da anni UFED, un tool di mobile forensics che permette acquisizioni forensi certificate di cellulari, smartphone e tablet con il quale gli investigatori sono già in grado di esaminare l’utilizzo del cellulare. In genere, però, UFED viene utilizzato in laboratorio e l’acquisizione non è immediata, cos’ come la reportistica, che richiede talvolta ore di elaborazione. E’ già quindi possibile  valutare – nell’ambito di perizie informatiche su cellulari – l’eventuale utilizzo dello smartphone del guidatore a seguito d’incidenti stradali, utilizzando appunto UFED per estrazione dati e ricostruzione di timeline e poi analizzando manualmente i log degli applicativi di messaggistica come Whatsapp, Telegram o Signal o degli strumenti d’invio e ricezione SMS presenti negli smartphone, siano essi Android (Samsung, HTC, Motorola, Sony, etc…) o iOS (Apple). Lo strumento textalizer però velocizzerà queste analisi rendendole possibile sul campo direttamente da parte degli Operatori e rendendo meno intrusiva la fase di acquisizione forense: Cellebrite infatti dichiara che il tool non acquisisce o mostra dati personali degli utenti, immagini o contenuto dei messaggi, essendo appunto soltanto finalizzato a verificare l’utilizzo del dispositivo nei minuti precedenti l’incidente o il controllo da parte della Polizia Stradale.

In diverse città americane le autorità stanno puntando verso l’inserimento del controllo del cellulare in caso d’incidente e durante le fermate ai posti di blocco, insieme all’etilometro, proprio per disincentivare l’utilizzo degli smartphone durante la guida e poter verificare eventuali responsabilità durante gli incidenti stradali. Chicago si è già portata avanti ma anche a New York e in Tennessee le Autorità stanno lavorando per conferire agli Organi di Controllo il potere di controllare i cellulari dei guidatori anche durante i normali interventi di verifica a campione. I guidatori avranno la possibilità di rifiutare di consegnare il proprio telefonino ma rischieranno, così come già avviene per gli alcohol test, di vedersi ritirare la patente o incorrere in sanzioni pecuniarie.

Ovviamente questa novità non ha nulla a che fare con il messaggio Whatsapp che sta circolando in questi giorni in Italia e che cita:

Vi comunico che a partire da maggio entrerà in vigore il nuovo codice della strada. Oggi e stato approvato l’articolo più pesante ed era anche giusto. Cioè vi spiego chiunque verrà sorpreso alla guida del veicolo anche se è fermo ai semafori o agli stop con il cellulare o altri apparecchi. La sanzione e la seguente, ritiro della patente immediata e la multa parte da 180 euro fino a 680 euro. Quindi state molto attenti organizzativi con i viva voce. Credo sia utile diffondere. Buongiorno.

Il messaggio è impreciso, anche se è confermato che già a maggio potrebbe essere inserita una modifica al Codice della Strada tramite un decreto, in attesa che riparta l’iter legislativo del nuovo Codice, che introdurrebbe la sospensione della patente (mentre oggi si paga la multa e si perdono 5 punti) per un mese già la prima volta che si viene sorpresi alla guida mentre si sta utilizzando lo smartphone.

Certamente uno strumento come Textalyzer, di Cellebrite, per verificare e dimostrare l’utilizzo del dispositivo durante la guida potrebbe tornare utile anche per rafforzare il rispetto del Codice della Strada ed evitare contestazioni o ricorsi.

 

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.

Sblocco PIN su Apple iOS 9.x 32bit e Samsung Galaxy S6 e S7

Sblocco PIN di iPhone e Android tramite CellebriteDue importanti novità nel campo della mobile forensics: la società israeliana Cellebrite ha recentemente aggiornato il suo servizio CAIS con la funzione di sblocco PIN e acquisizione fisica dei dispositivi Apple con processore a 32 bit senza secure enclave e iOS 9.x, fino a pochi giorni fa impossibili da sbloccare poiché il servizio era disponibile soltanto per gli iPhone/iPad/iPod con versione Apple iOS 8.x.

Ccellebrite CAIS Unlocking ServicesLa funzionalità di sblocco PIN di iPhone e Samsung Android non è stata inserita nei prodotti Cellebrite come UFED ma viene fornita dalla casa produttrice tramite contatto diretto mediante il loro modulo per Cellebrite CAIS Unlocking Services e a pagamento.

I dettagli e le modalità di esecuzione del servizio CAIS vengono forniti su richiesta, sappiamo però che in passato Cellebrite ha fornito assistenza anche all’Autorità Giudiziaria italiana a seguito di consegna a mano dell’iPhone presso la loro sede in Germania poiché il dispositivo da sbloccare possedeva processore A6 a 32 bit senza il sistema secure enclave.

La modalità di acquisizione fisica di un dispositivo mobile indica la possibilità di estrarre l’intero contenuto della memoria flash, tramite una “copia forense” bit-to-bit di tutte le aree, allocate e non, incluse quelle precluse al Sistema Operativo o quelle in cui sono presenti dati cancellati ma non ancora sovrascritti. Ciò permette, in alcuni casi, di eseguire il recupero dati cancellati da smartphone o accedere ad aree di memoria ove sono presenti dati rilevanti per le indagini che l’acquisizione logical o filesystem non riescono a raggiungere. Nell’ambito delle perizie informatiche su cellulare e smartphone, è certamente un elemento strategico poter disporre di una copia fisica del dispositivo e di dati fino a oggi inaccessibili se non tramite rooting o jailbreaking.

Cellebrite dichiara nel suo comunicato online [WBM], sulla brochure del servizio CAIS del 15 luglio [WBM] (dove dichiara “Galaxy S7“) e in quella del 20 luglio [WBM] (dove ha precisa “some Galaxy S7 devices“) di essere la prima società a fornire una “estrazione fisica con decifratura” di alcuni dispositivi iPhone (iOS) e Samsung (Android):

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2);
  • Samsung Galaxy S6, Galaxy Note 5 e alcuni dispositivi Galaxy S7 con qualunque versione di Android fino alla Marshmallow 6.0.1 inclusa.

Sembra quindi che sia ancora impossibile lo sblocco di PIN e la physical acquisition di smartphone con processore a 64 bit come l’iPhone 5s, iPhone 6, iPhone 6 plus, iPhone 6s, iPhone 6s plus oppure iPad Air, ipad Air 2, iPad Mini 2, iPad Mini 3, iPad Mini 4.

In particolare, il servizio permette di sbloccare dispositivi iPhone o Samsung protetti da PIN e acquisire in maniera forense il contenuto senza la necessità di eseguire rooting o jailbreak al fine di accedere al’intero filesystem per recuperare email scaricate, dati di applicazioni di terze parti, dati di geolocalizzazione o log di sistema.

Ciò che viene estratto dalla copia fisica dell’iPhone può poi integrare quanto già fino a oggi estraibile tramite il Cellebrite UFED Physical Analyzer, cioè:

  • Dati decodificati: Elenco chiamate, voicemail, contatti, localizzazioni geografiche (WiFi, celle e fix GPS), immagini, video, messaggi di testo SMS, MMS, email, note, applicazioni installate e loro utilizzo, dizionario utente, calendario/agenda, storia dei pairing con dispositivi bluetooth, cache delle mappe;
  • Applicazioni: Skype, Whatsapp, Viber, Fring, MotionX, AIM, TigerText, Facebook Messenger, Twitterrific, Textfree, Google+, Facebook, Foursquare, Garmin, TomTom, Waze, TextNow, Dropbox, Yahoo Messenger, Ping Chat, Twitter, Touch (new ping chat), Find My iPhone, LinkedIn, iCQ, Kik Messenger, Google Maps, Kakaotalk, QIP, Evernote, Vkontakte, Mail.ru
  • Dati di navigazione web: Safari, Opera Mini – bookmark, history e cookies

La tabella di supporto per il recupero dati e lo sblocco del PIN di dispositivi Apple con Sistema Operativo iOS come iPhone, iPad e iPod del software UFED Physical Analyzer è la seguente:

Supporto iPhone iOS di Cellebrite UFED Physical Analyzer

Ricordiamo infine che la società israeliana Cellebrite era tra quelle che si riteneva potessero avere contribuito allo sblocco dell’iPhone di Farook durante le indagini per la strage di San Bernardino e i telefoni per i quali è disponibile il servizio CAIS comprendono anche il modello utilizzato dall’autore della strage Farook, un iPhone 5C con processore a 32 bit e iOS 9.x.

Per approfondimenti sul sistema di protezione dati di Apple iOS, il secure enclave, il boot process e tutto ciò che concerne la sicurezza dei dispositivi iOS consigliamo la lettura della iOS Security Guide ufficiale di Apple [WBM] mentre per una schematizzazione dei dispositivi Apple organizzata per processore, versione iOS e caratteristiche hardware e software consigliamo la pagina Wikipedia sui dispositivi iOS [WBM].