GrapheneOS กับการดึงข้อมูลทางนิติวิทยาศาสตร์ดิจิทัล (2024)

• GrapheneOS ได้รับความสนใจจาก ความปลอดภัยและความเป็นส่วนตัว ระดับสูง จนถูกมองว่าอยู่ในระดับเดียวกับ iOS
• ในเดือนพฤษภาคม 2024 มี การโจมตีด้วยข้อมูลเท็จบนโซเชียลมีเดีย ว่า GrapheneOS อ่อนแอต่อการดึงข้อมูล
• เครื่องมือนิติวิทยาศาสตร์อย่าง Cellebrite สามารถดึงข้อมูลโดยไม่ยินยอมได้จาก อุปกรณ์ Android/iOS ส่วนใหญ่ แต่ GrapheneOS จะไม่ถูกเจาะ เมื่อมี แพตช์ความปลอดภัยล่าสุด
• การดึงข้อมูลแบบ consent-based คือกรณีที่ผู้ใช้ปลดล็อกอุปกรณ์ของตนเอง และจะดึงข้อมูลได้เฉพาะในกรณีนี้เท่านั้น
• การใช้ Pixel 6 ขึ้นไปคู่กับ GrapheneOS สามารถ ป้องกันการโจมตีแบบ brute-force รหัสผ่านและการแฮ็กผ่านการเชื่อมต่อ USB รวมถึงการโจมตีสมัยใหม่อื่น ๆ ได้

ภาพรวมของ GrapheneOS และที่มาของการโจมตีบนโซเชียลมีเดีย

• GrapheneOS เป็นระบบปฏิบัติการ บนพื้นฐาน Android แบบโอเพนซอร์ส ที่เน้นความปลอดภัยและความเป็นส่วนตัว โดยให้การปกป้องในระดับเทียบเท่าหรือสูงกว่า iOS
• ในเดือนพฤษภาคม 2024 มีการโจมตีบน โซเชียลมีเดียที่สร้างความเข้าใจผิดว่า GrapheneOS ถูกเจาะด้วยเครื่องมือนิติวิทยาศาสตร์ได้
• ความจริงคือเป็นกรณีการดึงข้อมูลที่อาศัย ความยินยอม (consent) ของผู้ใช้ แต่ถูกนำไปบิดเบือนโดยเจตนาร้ายจนทำให้เข้าใจผิดว่า GrapheneOS มีช่องโหว่

ภาพรวมของดิจิทัลฟอเรนสิกและการดึงข้อมูล

• ดิจิทัลฟอเรนสิกคือ กระบวนการเก็บรวบรวมและวิเคราะห์พยานหลักฐานอิเล็กทรอนิกส์
• กระบวนการนี้ใช้ดึงและวิเคราะห์ข้อมูลจากอุปกรณ์หลากหลายประเภท เช่น คอมพิวเตอร์ สมาร์ตโฟน และสื่อบันทึกข้อมูล เพื่อใช้เป็น หลักฐานคดีอาชญากรรมหรือข้อพิพาททางกฎหมาย
• อย่างไรก็ตาม เทคโนโลยีนิติวิทยาศาสตร์ก็อาจถูกนำไปใช้ในทางที่ผิดเพื่อ ละเมิดความเป็นส่วนตัว แก้แค้น หรือบิดเบือนพยานหลักฐาน ได้
• GrapheneOS จึงพัฒนามาตรการความปลอดภัยหลากหลายรูปแบบโดยมีเป้าหมายเพื่อ ป้องกันการดึงข้อมูลโดยไม่ยินยอมและการดัดแปลงอุปกรณ์

Cellebrite และอิทธิพลของบริษัท

• Cellebrite เป็น บริษัทชั้นนำด้านดิจิทัลฟอเรนสิกจากอิสราเอล โดยมีเครื่องมือที่รู้จักกันดีคือ UFED (Universal Forensic Extraction Device)
• แม้จะจำหน่ายอุปกรณ์ให้รัฐบาลและหน่วยงานยุติธรรมอย่างถูกกฎหมาย แต่ก็มีการ ขายให้ประเทศอำนาจนิยมและรัฐที่กดขี่สิทธิมนุษยชน ด้วย
• เครื่องมือนี้ถูกใช้พยายามดึงข้อมูลจากสมาร์ตโฟนในหลายพื้นที่ทั่วโลก

วิธีการดึงข้อมูลและพื้นฐานทางเทคนิค

• ขั้นตอนแรกของดิจิทัลฟอเรนสิกคือการ ดึงข้อมูล จากอุปกรณ์พกพา
• หากอุปกรณ์ ถูกล็อกอยู่ จะมีการพยายามเดารหัสผ่านหรือ PIN ด้วยหลายวิธี เช่น การแฮ็กหรือ brute-force
• สมาร์ตโฟนมีอยู่สองสถานะ:
  • BFU (Before First Unlock): สถานะหลังบูตเครื่องและยังไม่เคยปลดล็อกเลย โดยข้อมูลภายในจะ ถูกเข้ารหัสอย่างสมบูรณ์ ทำให้วิเคราะห์ทางนิติวิทยาศาสตร์ได้ยากมาก
  • AFU (After First Unlock): สถานะหลังจากปลดล็อกแล้ว ซึ่งกุญแจเข้ารหัสถูกเก็บไว้ในหน่วยความจำ ทำให้เข้าถึงข้อมูลได้ง่ายขึ้นเมื่อเทียบกัน

การดึงข้อมูลในการปฏิบัติงานจริง

• สถานะ AFU: พยายามดึงข้อมูลโดยอาศัยช่องโหว่ซอฟต์แวร์ การเลี่ยงระบบ หรือปลดล็อกหน้าจอ
• สถานะ BFU: พยายามเดา PIN/รหัสผ่านด้วยวิธี brute-force (ลองทุกชุดค่าที่เป็นไปได้)

ความสามารถล่าสุดของ Cellebrite ในการดึงข้อมูล

• ตามข้อมูลที่เผยแพร่ในเดือนเมษายน 2024 อุปกรณ์ Android ทุกแบรนด์ ยกเว้น GrapheneOS สามารถถูกแฮ็กและดึงข้อมูลได้ไม่ว่าจะอยู่ในสถานะ AFU หรือ BFU

• สำหรับอุปกรณ์ iOS รุ่นใหม่ก็รองรับบางส่วน และผู้ใช้ iPhone ส่วนใหญ่มักได้รับแพตช์ล่าสุดโดยอัตโนมัติ จึงช่วยลดความเสี่ยงลง

• NSO (ผู้สร้าง Pegasus) เคยมีกรณีใช้ประโยชน์จากช่องโหว่ใน iOS เวอร์ชันล่าสุดได้อย่างรวดเร็วมาก

• GrapheneOS ได้รับการยอมรับอย่างเป็นทางการว่าแม้แต่ Cellebrite ก็ไม่สามารถแฮ็กได้ หากติดตั้งอัปเดตความปลอดภัยตั้งแต่ปลายปี 2022 เป็นต้นมา

• เนื่องจากเปิดใช้งานการอัปเดตอัตโนมัติไว้ ผู้ใช้ส่วนใหญ่จึง คงระดับความปลอดภัยล่าสุดไว้ได้

• อย่างไรก็ตาม หาก ผู้ใช้ปลดล็อกเครื่องด้วยตนเอง (consent-based) ก็สามารถดึงข้อมูลได้ทั้งใน iOS, Android และ GrapheneOS

  • GrapheneOS สามารถเข้าถึงข้อมูลทั้งหมดได้ผ่านตัวเลือกสำหรับนักพัฒนาและเครื่องมือ adb

• Pixel 6 และรุ่นหลังจากนั้น + GrapheneOS ไม่สามารถถูกเจาะด้วย brute-force ได้แม้แต่ในกรณี PIN 6 หลักที่สุ่มขึ้นมา

เหตุการณ์โจมตีบนโซเชียลมีเดียและข้อเท็จจริง

• ในเดือนพฤษภาคม 2024 มีการเผยแพร่ ข้อกล่าวอ้างเท็จเรื่องช่องโหว่ ของ GrapheneOS บนโซเชียลมีเดีย โดยอ้างอิงจากกรณีดึงข้อมูลแบบ consent-based ที่สำเร็จ
• ก่อนหน้านี้ก็เคยมีกรณีลักษณะคล้ายกัน เช่น ข่าวลือว่าเจาะการเข้ารหัสของ Signal ได้ ทั้งที่ความจริงเป็นกรณีที่ผู้ใช้เปิดแอปเองและมอบให้การตรวจทางนิติวิทยาศาสตร์

กลยุทธ์ป้องกันการแฮ็กเชิงนิติวิทยาศาสตร์ของ GrapheneOS

ฟีเจอร์สำคัญเพื่อป้องกันการแฮ็กโทรศัพท์

• เมื่ออุปกรณ์อยู่ในสถานะล็อกของผู้ใช้ (เช่น screen lock) ระบบจะ บล็อกการเชื่อมต่อ USB ใหม่ และมีฟังก์ชันปิดพอร์ตในระดับฮาร์ดแวร์
• ในหลายสถานการณ์ เช่น BFU, AFU หรือแม้แต่หลังปลดล็อกเต็มรูปแบบ ก็สามารถตั้งค่าให้ ปิดกั้น USB ได้ทั้งหมดตามระดับที่ผู้ใช้ต้องการ
• หลังปี 2024 เป็นต้นมา เฟิร์มแวร์ของ Pixel เองก็ได้รับการเสริมความปลอดภัย ด้วย

การป้องกันการโจมตีแบบ brute-force

• อุปกรณ์ Pixel 6 ขึ้นไปติดตั้ง Titan M2 (โมดูลความปลอดภัยฮาร์ดแวร์) เพื่อปกป้องกุญแจเข้ารหัส
• หลังป้อนผิด 5 ครั้งต้องรอ 30 วินาที และเมื่อเกิน 30 ครั้ง, 140 ครั้ง เวลารอจะเพิ่มขึ้นตามลำดับ ก่อนจะอนุญาตให้ป้อนได้เพียงวันละ 1 ครั้งเท่านั้นในภายหลัง (secure element throttling)
• ผ่านการประเมินอิสระในระดับ AVA_VAN.5 ซึ่งยืนยันถึงความปลอดภัยระดับสูงมาก
• แม้ผู้โจมตีระดับองค์กรจะเคยหลบเลี่ยงโมดูลความปลอดภัยของ iOS, Samsung และ Qualcomm ได้แล้ว แต่ชุด GrapheneOS + Pixel 6 ขึ้นไป ยังไม่มีกรณีที่โจมตีสำเร็จในช่วงหลายปีล่าสุด

ฟีเจอร์รีบูตอัตโนมัติ (auto reboot)

• มีการตั้งค่าเริ่มต้นให้ รีบูตอัตโนมัติหลัง 18 ชั่วโมง (ปรับแต่งได้ตั้งแต่ 10 นาทีขึ้นไป) และเมื่อไม่ได้ใช้งานจะกลับไปอยู่ในสถานะ BFU
• ดังนั้น ต่อให้แฮ็กเกอร์พัฒนา exploit ได้จริง ช่วงเวลาที่สามารถโจมตีได้จริงก็จะถูกจำกัดอยู่แค่ก่อนเครื่องรีบูต หลังผู้ใช้ปลดล็อกแล้วเท่านั้น

บทสรุปและแนวโน้มในอนาคต

• ทีม GrapheneOS ยังคงเสริม ความปลอดภัย และ ฟีเจอร์ความปลอดภัยแบบอัตโนมัติ อย่างต่อเนื่อง
• ในอนาคตมีแผนนำมาตรการป้องกันที่ทั้งแข็งแกร่งและใช้งานสะดวกยิ่งขึ้นมาใช้ เช่น การยืนยันตัวตน 2 ขั้นด้วยลายนิ้วมือ+PIN และ UI สุ่ม passphrase อัตโนมัติ
• แม้จะมีความพยายามเผยแพร่ข้อมูลเท็จในสถานการณ์ที่แม้แต่กลุ่มแฮ็กขั้นสูงก็ยังเจาะไม่ได้ แต่ข้อมูลที่ยึดตามข้อเท็จจริงสามารถใช้รับมือกับเรื่องเหล่านี้ได้