Заморозил Android, снял дамп - Removal dump memories Android with the help frosts

Эксперты-криминалисты давно применяют метод глубокой заморозки для снятия информации из оперативной памяти персонального компьютера. Теперь эту технику впервые применили в отношении мобильных телефонов Android.

Пара исследователей Тило Мюллер (Tilo Mueller) и Михаэль Шпрейтзенбарт (Michael Spreitzenbarth) из университета Эрлангена–Нюрнберга (Германия)


   продемонстрировали технику бешеной атаки «холодной загрузкой» на телефон Samsung Galaxy Nexus с последней разновидностью Android. Они наименовали свой метод FROST (Forensic Recovery Of Scrambled Telephones).

      Просто здорово охладив телефон до температуры –15°C и перезагрузив его, они смогли вообще получить доступ к информации во встроенной памяти, включая фотографии, почтовые сообщения и историю сёрфинга. Более того, в некоторых случаях из фрагментов "блестящей" памяти можно даже извлечь ключ шифрования, который применялся для охраны зашифрованного раздела в памяти телефона. Чтобы снять дамп памяти, исследователи взяли включенный телефон, заморозили его, после чего вынули и вставили батарею, удерживая клавиши Power и Volume.

     Кратковременное извлечение батареи на 500 миллисекунд инициировало перезагрузку инструмента, а при надавленных клавишах Power и Volume он входит в меню fastboot, откуда можно спокойно загрузить frost.img и снять дамп памяти c Linux-компьютера, подключённого по USB порту.



 Experts-criminalists use for a long time a method frosts for removal of the information from operative memory of the personal computer. Now this technics for the first time have applied concerning mobile phones Android. Pair of researchers Tilo Müller (Tilo Mueller) and Michael Shprejtzenbart (Michael Spreitzenbarth) from university Erlangena-Njurnberga (Germany) have shown technics of attack by "cold loading» on phone Samsung Galaxy Nexus with last version Android. They named the method FROST (Forensic Recovery Of Scrambled Telephones). Simply having cooled phone to temperature–15°C and having rebooted it, they could get access to the information in the built in memory, including photos, post messages and surfing history. Moreover, in certain cases from fragments of operative memory it is possible even to take a key of enciphering which was used for protection of the ciphered section in memory of phone. To remove дамп operative memory, researchers took included phone, have frozen it then have taken out and have inserted the battery, keeping keys Power and Volume. Short-term withdrawal of the battery on 500 milliseconds initiated device reboot, and at pressed keys Power and Volume it is included into the menu fastboot, whence it is possible to load frost.img and to remove дамп memories c the Linux-computer connected on USB.