Что такое код блокировки телефона
Как включить или выключить пин-код на телефоне
Защита смартфона для многих является приоритетом. Это неудивительно, учитывая, что мы храним в нем всю свою жизнь. Контакты, банковские карты, пароли, приватную переписку, документы по работе и многое-многое другое. Все это надо как-то защитить. Для этого производители придумывают большое количество степеней защиты. Пароль, графический ключ, сканирование лица, отпечаток пальцев, сканирование сетчатки… Все это хорошо, но царь всех паролей — это простой пин-код. Его надо ставить на все, что только можно, включая SIM-карту. Давайте-ка объясню, зачем. А заодно расскажу, как его включить и как выключить, если вам это будет надо.
Блокировка любого смартфона — это не пустой звук.
Для чего нужен пин-код телефона?
Ответ немного банален. Пин-код телефона нужен для того, чтобы сохранить его в безопасности и чтобы никто не получил доступ к содержимому вашего гаджета.
Также он нужен для того, чтобы вы могли активировать систему разблокировки по лицу или отпечатку пальцев. Прежде, чем их настроить, надо будет задать пин-код (или другой вид пароля). Эту нужно на тот случай, если биометрический метод разблокировки не сработает. Например, вы порежете палец.
Пин-код, как запасное средство разблокировки, спасает сейчас во время пандемии коронавируса. Выходя их дома в маске, не хочется каждый раз снимать ее для того, чтобы разблокировать смартфон. А зимой или во время занятий спортом может быть неудобно пользоваться сканером отпечатков. У меня комбо бывает летом, когда я еду на мотоцикле и останавливаюсь прочитать СМС. Перчатки с кевларовой нитью работают с сенсорным экраном, но закрывают отпечатки. А шлем закрывает лицо.
Как включить пин-код на смартфоне
Если при активации смартфона не задали пин-код или средство связи вам уже досталось активированным, вы можете задать нужный пин-код.
Для этого надо перейти в настройки, найти раздел ”Безопасность”, далее ”Блокировка экрана”. Если пароли у вас были отключены, вы сможете выбрать любой способ из предложенных. Если способ блокировки был включен, то вас попросят ввести пин-код, после чего можно будет выбрать пункт ”Нет” в выборе способа блокировки и снять защиту. Останется только подтвердить, что вы осознаете опасность.
Иногда названия пунктов могут отличаться, в зависимости от производителя. Например, в смартфонах Huawei и Honor настройка пароля вынесена в основное меню. Надо будет выбрать пункт ”Биометрические данные и пароли”, далее ”Пароль экрана блокировки”. Там вы можете его включить и задать нужные цифры. Если хотите включить биометрическую разблокировку, заходите в соответствующий пункт и активируете ее. Надо будет только задать пин-код перед активацией биометрических средств блокировки.
Чтобы отключить защиту, надо будет зайти в тот пункт настройки, который вам нужен, и отключить все, что надо. Перед отключением вас попросят ввести пин-код.
Если вам надо настроить не пин-код, а новый смартфон, вот хорошая инструкция.
Зачем нужен пин-код сим-карты?
Представьте себе такую ситуацию… Вы шли по улице, зашли куда-то и не заметили, как у вас украли смартфон. Например, в кинотеатре, театре или еще лучше, в аэропорту. То есть тогда, когда вы долго не сможете что-то сделать для блокировки симки.
С одной стороны, можно не бояться. Смартфон заблокирован. Его, конечно, жалко, но воспользоваться привязанными к нему картами никто не сможет — все, какие только можно, пароли включены. Но есть одна лазейка.
Вор просто достанет симку из вашего телефона, вставит ее в другое устройство и наберет свой номер. Так он узнает, какой номер телефона у вас. После этого он пойдет по сайтам банков в попытках восстановить ”забытый” пароль от личного кабинета. Долго искать не придется, так как проверить Сбербанк, ВТБ, Альфа-Банк, Тинькофф и Райффайзен Банк будет достаточно. Если время позволяет, можно проверить еще несколько вариантов.
После этого будет делом техники вывести все деньги, используя для подтверждения ваши же СМСки. Схема очень проста и изящна. Вы в это время будете смотреть кино или лететь на отдых, даже не зная, что что-то не так.
Для того, чтобы исключить такие ситуации, надо просто поставить пин-код на симку. Я уже уже рассказывал об этом подробно, но вкратце повторюсь. Даже банальных 9876 уже может быть достаточно для того, чтобы вор не угадал цифры с трех раз перед блокировкой карточки.
Если вы не включили пин-код на симку, первым делом звоните оператору или идите в салон связи и блокируйте ее. Практика показывает, что пользователи относятся к этому слишком расслабленно. А еще нельзя покупать симки в переходе.
Как включить пин-код на симке
Для того, чтобы защитить симку пин-кодом (лучше поздно, чем никогда), надо перейти в настройки смартфона, выбрать пункт ”Безопасность”, далее ”Дополнительные настройки”, потом ”Шифрование и учетные данные”. Теперь можно выбрать симку и настроить для нее пин-код.
Лично я давно пользуюсь всеми блокировками и вам советую. Они как ремень безопасности делаются не для того, чтобы были, а для вашей безопасности. Защиту симки тоже, хоть мы и считаем это пережитком прошлого. Но сейчас это стало как никогда актуально. Помните об этом.
Android для чайников №9. Экран блокировки. Что делать, если забыли пароль?
Павел Крижепольский
В этом выпуске мы поговорим о том, как установить пароль на разблокировку Android смартфона. И что делать, если вы потом забыли этот пароль.
Установка пароля на экран блокировки
Экран блокировки в разных Android смартфонах устроен по-разному. И количество доступных настроек тоже может очень сильно разниться. Где-то производители разрешают пользователям самостоятельно выбрать иконки быстрого запуска, где-то добавить специальный виджет, а в редких случаях можно даже изменить его тему оформления. Но есть одна опция, которая присутствует всегда – это установка пароля для разблокировки смартфона.
На скриншотах ниже я покажу, как установить пароль разблокировки на смартфоне HTC One. В других моделях название пунктов меню может слегка отличаться, но общий смысл остается таким же.
В первую очередь необходимо зайти в настройки телефона. Там следует перейти в раздел «Безопасность», а в нем выбрать пункт «Блокировка экрана». Любой Android смартфон поддерживает как минимум два типа пароля – цифровой ПИН-код и графический ключ. В первом случае для разблокировки нужно будет ввести число, а во втором – нарисовать на экране ломаную линию. Кроме того, современные смартфоны обычно могут распознать лицо владельца с помощью фронтальной камеры, но такой способ блокировки менее надежен. Поэтому, во избежание недоразумений, к нему попросят добавить еще и цифровой пароль. Если смартфон по какой-то причине не узнает вас в лицо, то всегда можно будет разблокировать его с помощью альтернативного пароля.
Что делать, если забыли пароль?
Установленный на телефон пароль может пригодится в самых разных ситуациях. Он спасет от случайной разблокировки телефона в сумке или кармане, защитит от излишнего любопытства друзей или коллег, а заодно и сбережет ваши личные данные при краже устройства. И все это, конечно, замечательно. Вот только что делать, если вы сами забыли пароль?
На самом деле, ничего страшного в этом случае не произойдет. После того, как вы пять раз подряд введете неверный пароль, смартфон попросит вас подождать 30 секунд перед следующей попыткой. После чего предложит на выбор два варианта – либо попытаться ввести пароль еще раз, либо сбросить его.
Нажмите на кнопку «Забыли комбинацию?» или «Забытый пароль». Система предложит вам ввести данные Google аккаунта, к которому подключено данное устройство. То есть те данные, которые вы вводили во время первичной настройки телефона.
В первой строке введите логин (обычно это почтовый ящик на gmail.com, но может быть и иная почта), во второй строке наберите пароль. Обратите внимание, что тут нужно ввести именно пароль от аккаунта Google, а не ПИН-код для разблокировки смартфона.
Если вы забыли пароль от своего аккаунта Google или не можете вспомнить, какая почта является логином, то попробуйте воспользоваться страницей восстановления пароля на официальном сайте компании.
Как разблокировать телефон на Андроид если забыл пароль
Пароль – надежное средство защитить содержимое смартфона от посторонних. Графическая комбинация вместо цифр – это еще и удобно, ведь запомнить фигуру легче, чем 4-хзначный пин. Но как разблокировать телефон, если забыл пароль? Если вы не можете вспомнить заданную комбинацию, или ее случайно поменял другой человек, снять блокировку все равно можно. В статье мы собрали работающие методы, как отключить графический ключ или цифровой пароль.
Наши инструкции предназначены для восстановления доступа только к личным гаджетам. Мы не расскажем, как взломать пароль на телефоне, чтобы не нарушать право каждого человека на неприкосновенность личных данных.
Установка графического ключа
Чтобы не запоминать цифровой пароль, создайте в настройках мобильного устройства его графическую версию. Для разблокировки графического ключа на Андроиде надо соединить на дисплее точки в определенной последовательности. Чтобы задать ключ:
Не используйте самые простые знаки, цифры и первую букву своего имени или фамилии. Для надежности нарисуйте придуманную фигуру на бумаге и сохраните, чтобы всегда иметь возможность вспомнить ее внешний вид. Если не стали это делать и никак не можете вспомнить рисунок, читайте ниже, что делать, если забыл пароль от телефона
Легкие способы
Начнем с легких вариантов, как разблокировать телефон, если забыл графический пароль. Исполнение не потребует особых навыков и доступно даже ребенку, однако не во всех случаях эти методы эффективны.
Сброс пароля
Если у вас задано 2 метода авторизации – по цифровому и графическому коду, снять блокировку экрана Android несложно. Введите графический ключ, перебирая варианты последовательности соединения точек, до исчерпания количества попыток. Появится сообщение «Разблокировать другим способом», нажмите на него и введите цифровой пин-код.
Через Google-аккаунт
Для этого метода потребуется учетная запись в Google, привязанная к мобильному, и интернет. Как сбросить графический ключ: через 5 попыток ввести нужную последовательность, вам предложат отложить перебор на 30 сек. Снизу на дисплее возникнет ссылка «Забыли граф. ключ?» – кликните на нее. Откроется форма вынесения логина и пароля от профиля Google.
После авторизации личной записи аппарат разблокируется, в настройках станет доступно создание нового пароля. При утере параметров входа в Google, сначала задайте новые по ссылке через компьютер.
Если гаджет не подключен к сети, попробуйте устранить это одним из способов:
Звонок на устройство
Если на аппарате стоит старая версия Android (младше 2.3), обойти пароль очень легко. Наберите его номер со второго телефона, во время ответа на вызов дисплей активируется – перейдите в меню и поменяйте пин-код.
Разряженная батарея
Способ годится для любой версии ОС, но требует внимательности и терпеливости. Как разблокировать графический ключ: оставьте батарею разряжаться, дождитесь сообщения о низком заряде. Кликните на кнопку с информацией о состоянии батареи, перейдите в общие настройки и выключите пароль. Будьте внимательны – нужное системное окно появляется на 15 сек.
Сервисный центр
Если ничего не помогло, как сбросить пароль – знают в центре техобслуживания производителя. Если вы забыли графический ключ, придется оплатить не гарантийный ремонт, даже для купленного недавно устройства. Но бывают и гарантийные случаи – когда вы помните код доступа, но сенсор дисплея неправильно распознает касания и не дает открыть телефон. Это аппаратная неисправность, восстановить доступ помогут тоже в сервисе.
Сложные способы
Если вы хотите чуть глубже познакомиться с работой ОС, попробуйте более сложные способы, как снять блокировку. Мы приведем максимально подробные инструкции, чтобы не возникло затруднений.
Предустановленная утилита
Предупредить проблему часто легче, чем ее устранить. Обойти графический ключ можно в установленной заранее программе – SMS Bypass или Pattern Unlock. Скачайте ее на телефон, утилите понадобятся Root права.
Если вы забыли пароль на телефоне, но предварительно поставили SMS Bypass – пошлите на свой номер сообщение «1234 reset». Аппарат перегрузится, после подключения впишите любую последовательность и сбросьте блокировку.
Сброс заводских настроек
Универсальный метод, подходит для любых моделей – от популярных Samsung и Sony Xperia до моделей малоизвестных китайских производителей с любой версией Андроида. Сброс вернет устройство к изначальному состоянию, стерев все настройки пользователя. При этом уничтожится вся информация со внутренней памяти – установленные программы, тексты SMS, заметки, телефонная книга.
Если у вас создан профиль в Google, регулярно синхронизируйте с ним содержимое смартфона, тогда будет можно восстановить контакты. Музыка, фотографии и видеофайлы, сохраняемые на SD-карту, будут не тронуты в любом случае.
Как снять пароль с телефона:
Комбинация клавиш, которую надо нажать для загрузки системного меню, отличается в зависимости от модели гаджета. Обычно это различные вариации физических кнопок – включения, регулировки звука, «Домой». Из следующего списка можно узнать значения для популярных производителей:
Удаление файлов ключа
Если забыл графический ключ, для доступа можно стереть из системы определенные файлы, где хранится пин-код. Метод срабатывает, если настроены root-права и кастомная прошивка с Recovery типа TWRP или CMW. Как обойти графический пароль:
После сброса графического кода не забудьте сделать новый PIN-код.
Если в гаджете заведено несколько пользователей, удалить графический ключ на телефоне можно по-другому. Каждый аккаунт должен обладать root-правами и иметь утилиту SuperSu с подключенным многопользовательским режимом. Как снять графический ключ Андроид:
Способы для конкретных производителей
Отдельные производители цифровой техники создают фирменные сервисы для удаленной разблокировки мобильника. Убрать забытый пароль с их помощью достаточно легко.
Samsung
Чтобы быстро разблокировать Самсунг, понадобится регистрация в Samsung account. Ее данные надо заранее внести в телефон.
Если он внезапно будет заблокирован:
Как удалить забытый код доступа на Сони Иксперия:
Xiaomi
На телефоне Xiaomi с версией прошивки до MIUI 7 отменить блокировку можно через аккаунты Google или Mi, по ссылке «Забыли пароль» на экране входа. На более свежих моделях разгадать код доступа поможет только сброс через системное меню. На некоторых устройствах оно доступно сразу – через питание+звук вверх, на других вам придется разобраться, как разблокировать загрузчик Xiaomi.
На этого надо запросить разрешение у компании-производителя через специальную утилиту на фирменном сайте. После его получения, установить приложение Mi Flash Unlock, зарегистрироваться в нем и разблокировать Bootloader.
После того, как разблокировать загрузчик удалось, в Xiaomi Redmi 3 или другой модели в системном меню выбираем Wipe all data.
Заключение
Для обхода забытого кода доступа есть много способов. Наиболее универсальные – вход через Google-аккаунт и сброс всех настроек. Поэтому обязательно привяжите учетную запись Google к устройству или будьте готовы потерять часть данных при возврате к заводским установкам.
Зона доступа: 30 способов, которые позволят разблокировать любой смартфон. Часть 1
В своей работе компьютерные криминалисты регулярно сталкиваются с кейсами, когда надо оперативно разблокировать смартфон. Например, данные из телефона нужны следствию, чтобы понять причины суицида подростка. В другом случае — помогут выйти на след преступной группы, нападающей на водителей-дальнобойщиков. Бывают, конечно, и милые истории — родители забыли пароль от гаджета, а на нем осталось видео с первыми шагами их малыша, но таких, к сожалению, единицы. Но и они требуют профессионального подхода к вопросу. В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о способах, которые позволяют экспертам-криминалистам обойти блокировку смартфона.
Важно: эта статья написана для оценки безопасности паролей и графических паттернов, используемых владельцами мобильных устройств. Если вы решите разблокировать мобильное устройство с помощью описанных методов — помните, что все действия по разблокировке устройств вы совершаете на свой страх и риск. При манипуляции с мобильными устройствами вы можете заблокировать устройство, стереть пользовательские данные или привести устройство в неисправное состояние. Также даны рекомендации пользователям, как повысить уровень защиты своих устройств.
Итак, самым распространенным методом ограничения доступа к пользовательской информации, содержащейся в устройстве, является блокировка экрана мобильного устройства. Когда подобное устройство попадает в криминалистическую лабораторию, работа с ним бывает затруднена, так как для такого устройства невозможно активировать режим отладки по USB (для Android-устройств), невозможно подтвердить разрешение на взаимодействие компьютера эксперта с этим устройством (для мобильных устройств фирмы Apple) и, как следствие, невозможно получить доступ к данным, находящимся в памяти устройства.
Насколько обычная блокировка экрана мобильного устройства препятствует извлечению специалистами данных из него, говорит тот факт, что ФБР США заплатило крупную сумму за разблокировку iPhone террориста Сайеда Фарука, одного из участников теракта в калифорнийском городе Сан-Бернардино [1].
Методы разблокировки экрана мобильного устройства
Как правило, для блокировки экрана мобильного устройства используется:
Социальные методы разблокировки мобильного устройства
Кроме чисто технических, существуют и иные способы узнать или преодолеть PIN-код, или графический код (паттерн) блокировки экрана. В отдельных случаях социальные методы могут быть более эффективными, чем технические решения, и помочь в разблокировке устройств, перед которыми пасуют существующие технические разработки.
В данном разделе будут описаны методы разблокировки экрана мобильного устройства, которые не требуют (или требуют лишь ограниченного, частичного) применения технических средств.
Для совершения социальных атак нужно как можно глубже изучить психологию владельца заблокированного устройства, понять, по каким принципам он генерирует и сохраняет пароли или графические паттерны. Также исследователю понадобится капля везения.
При использовании методов, связанных с подбором пароля, следует учитывать, что:
Способ 1: cпроси пароль
Это покажется странным, но пароль разблокировки можно узнать, просто спросив у владельца устройства. Как показывает статистика, примерно 70% владельцев мобильных устройств охотно сообщают пароль. Особенно, если это сократит время исследования и, соответственно, владелец быстрее получит свое устройство назад. Если нет возможности спросить пароль у владельца (например, владелец устройства умер) или он отказывается его раскрыть — пароль можно узнать у его близких родственников. Как правило, родственники знают пароль или могут подсказать возможные варианты.
Рекомендация по защите: Пароль от вашего телефона — это универсальный ключ от всех данных, в том числе и платежных. Говорить, передавать, писать его в мессенджерах — плохая идея.
Способ 2: подгляди пароль
Пароль можно подсмотреть в момент, когда владелец пользуется устройством. Даже если вы запомните пароль (символьный или графический) лишь частично — это значительно сократит количество возможных вариантов, что позволит быстрее подобрать его.
Вариантом данного метода является использование записей камер видеонаблюдения, на которых запечатлен владелец, разблокирующий устройство с помощью графического пароля [2]. Описанный в работе «Cracking Android Pattern Lock in Five Attempts» [2] алгоритм, путем анализа видеозаписей, позволяет предположить варианты графического пароля и разблокировать устройство за несколько попыток (как правило, для этого нужно сделать не более пяти попыток). Как утверждают авторы, «чем сложнее графический пароль, тем проще его подобрать».
Рекомендация по защите: Использование графического ключа — не лучшая идея. Цифро-буквенный пароль подглядеть очень сложно.
Способ 3: найди пароль
Пароль можно найти в записях владельца устройства (файлы на компьютере, в ежедневнике, на фрагментах бумаги, лежащих в документах). Если человек использует несколько различных мобильных устройств и на них разные пароли, то иногда в батарейном отсеке этих устройств или в пространстве между корпусом смартфона и чехлом можно найти клочки бумаги с записанными паролями:
Рекомендация по защите: не надо вести «блокнотик» с паролями. Это плохая идея, кроме случая, когда все эти пароли заведомо ложные, чтобы уменьшить количество попыток разблокировки.
Способ 4: отпечатки пальцев (Smudge attack)
Этот метод позволяет выявить потожировые следы рук на дисплее устройства. Увидеть их можно, обработав экран устройства светлым дактилоскопическим порошком (вместо специального криминалистического порошка можно использовать детскую присыпку или иной химически неактивный мелкодисперсный порошок белого или светло-серого цвета) или посмотрев на экран устройства в косопадающих лучах света. Анализируя взаиморасположение следов рук и имея дополнительную информацию о владельце устройства (например, зная его год рождения), можно попробовать подобрать текстовый или графический пароль. Так выглядит потожировое наслоение на дисплее смартфона в виде стилизованной буквы Z:
Рекомендация по защите: Как мы и говорили, графический пароль — это не лучшая идея, как и стекла с плохим олеофобным покрытием.
Способ 5: искусственный палец
Если устройство может быть разблокировано по отпечатку пальца, а исследователь имеет образцы отпечатков рук владельца устройства, то на 3D-принтере можно изготовить трехмерную копию отпечатка пальца владельца и использовать ее для разблокировки устройства [3]:
Для более полной имитации пальца живого человека — например, когда датчик отпечатка пальца смартфона еще детектирует тепло — 3D-модель надевается (прислоняется) к пальцу живого человека.
Владелец устройства, даже забыв пароль блокировки экрана, может сам разблокировать устройство, используя отпечаток своего пальца. Это может быть использовано в определенных случаях, когда владелец не может сообщить пароль, но, тем не менее, готов помочь исследователю разблокировать свое устройство.
Исследователю следует помнить о поколениях сенсоров, примененных в различных моделях мобильных устройств. Старые модели сенсоров могут срабатывать практически на прикосновение любого пальца, не обязательно принадлежащего владельцу устройства. Современные ультразвуковые сенсоры, наоборот, сканируют весьма глубоко и четко. Кроме того, ряд современных подэкранных сенсоров — это просто CMOS-фотокамеры, которые не могут сканировать глубину изображения, из-за чего обмануть их намного проще.
Рекомендация по защите: Если палец, то только ультразвуковой сенсор. Но не забывайте, что приложить палец против вашей воли куда проще, чем лицо.
Способ 6: «рывок» (Mug attack)
Данный метод описан британскими полицейскими [4]. Он заключается в скрытой слежке за подозреваемым. В момент, когда подозреваемый разблокирует свой телефон, агент в штатском вырывает его из рук владельца и не дает устройству заблокироваться вновь до момента передачи его экспертам.
Рекомендация по защите: Думаю, если против вас собираются применять такие меры, то дело плохо. Но тут нужно понимать, что случайная блокировка обесценивает этот способ. А, например, многократное нажатие кнопки блокировки на iPhone запускает режим SOS, который в дополнение ко всему выключает FaceID и включает требование кода пароля.
Способ 7: ошибки в алгоритмах управления устройством
В новостных лентах профильных ресурсов часто можно встретить сообщения о том, что при определенных действиях с устройством происходит разблокировка его экрана. Например, экран блокировки ряда устройств может разблокироваться при входящем звонке. Недостаток данного метода в том, что выявленные уязвимости, как правило, оперативно устраняются производителями.
Примером подхода к разблокировке мобильных устройств, выпущенных ранее 2016 года, является разряд батареи. При низком заряде устройство разблокируется и предложит изменить настройки питания. При этом надо быстро перейти на страницу с настройками безопасности и отключить блокировку экрана [5].
Рекомендация по защите: не забывайте своевременно обновлять ОС своего устройства, а если оно уже не поддерживается — менять смартфон.
Способ 8: уязвимости в сторонних программах
Уязвимости, выявленные в установленных на устройстве сторонних программах, могут также полностью или частично предоставлять доступ к данным заблокированного устройства.
Примером подобной уязвимости может быть похищение данных из iPhone Джеффа Безоса, основного владельца Amazon. Уязвимость в мессенджере WhatsApp, проэксплуатированная неизвестными, привела к краже конфиденциальных данных, находившихся в памяти устройства [6].
Подобные уязвимости могут быть использованы исследователями для достижения своих целей — извлечения данных из заблокированных устройств или для их разблокировки.
Рекомендация по защите: Нужно обновлять не только ОС, но и прикладные программы, которыми вы пользуетесь.
Способ 9: корпоративный телефон
Корпоративные мобильные устройства могут быть разблокированы системными администраторами компаний. Так, например, корпоративные устройства Windows Phone привязываются к аккаунту Microsoft Exchange компании и могут быть разблокированы ее администраторами. Для корпоративных устройств Apple существует сервис Mobile Device Management, аналогичный Microsoft Exchange. Его администраторы также могут разблокировать корпоративное iOS-устройство. Кроме того, корпоративные мобильные устройства можно скоммутировать только с определенными компьютерами, указанными администратором в настройках мобильного устройства. Поэтому без взаимодействия с системными администраторами компании такое устройство невозможно подключить к компьютеру исследователя (или программно-аппаратному комплексу для криминалистического извлечения данных).
Рекомендация по защите: MDM — это и зло, и добро с точки зрения защиты. MDM-администратор всегда может удаленно сбросить устройство. В любом случае, не стоит хранить чувствительные личные данные на корпоративном устройстве.
Способ 10: информация из сенсоров
Анализируя информацию, получаемую от сенсоров устройства, можно подобрать пароль к устройству с помощью специального алгоритма. Адам Дж. Авив продемонстрировал возможность подобных атак, используя данные, полученные акселерометром смартфона. В ходе исследований ученому удалось правильно определить символьный пароль в 43% случаях, а графический пароль — в 73% [7].
Рекомендация по защите: Внимательно следите за тем, каким приложениям вы выдаете разрешение на отслеживание различных сенсоров.
Способ 11: разблокировка по лицу
Как и в случае с отпечатком пальца, успех разблокировки устройства с использованием технологии FaceID зависит от того, какие сенсоры и какой математический аппарат используются в конкретном мобильном устройстве. Так, в работе «Gezichtsherkenning op smartphone niet altijd veilig» [8] исследователи показали, что часть исследуемых смартфонов удалось разблокировать, просто продемонстрировав камере смартфона фотографию владельца. Это возможно, когда для разблокировки используется лишь одна фронтальная камера, которая не имеет возможности сканировать данные о глубине изображения. Компания Samsung после ряда громких публикаций и роликов в YouTube была вынуждена добавить предупреждение в прошивку своих смартфонов. Face Unlock Samsung:
Более продвинутые модели смартфонов можно разблокировать, используя маску или самообучение устройства. Например, в iPhone X используется специальная технология TrueDepth [9]: проектор устройства, с помощью двух камер и инфракрасного излучателя, проецирует на лицо владельца сетку, состоящую из более чем 30 000 точек. Такое устройство можно разблокировать с помощью маски, контуры которой имитируют контуры лица владельца. Маска для разблокировки iPhone [10]:
Так как подобная система очень сложна и не работает в идеальных условиях (происходит естественное старение владельца, изменение конфигурации лица из-за выражения эмоций, усталости, состояния здоровья и т.п.), она вынуждена постоянно самообучаться. Поэтому если разблокированное устройство подержит перед собой другой человек — его лицо будет запомнено как лицо владельца устройства и в дальнейшем он сможет разблокировать смартфон, используя технологию FaceID.
Рекомендация по защите: не используйте разблокировку по «фото» — только системы с полноценными сканерами лица (FaceID у Apple и аналоги на Android-аппаратах).
Основная рекомендация — не смотреть в камеру, достаточно отвести взгляд. Если даже зажмурить один глаз — шанс разблокировать сильно падает, как и при наличии рук на лице. Кроме того, для разблокировки по лицу (FaceID) дается всего 5 попыток, после чего потребуется ввод кода-пароля.
Способ 12: использование утечек
Базы утекших паролей — прекрасный способ понять психологию владельца устройства (при условии, что исследователь располагает информацией об адресах электронной почты владельца устройства). В приведенном примере поиск по адресу электронной почты принес два похожих пароля, которые использовал владелец. Можно предположить, что пароль 21454162 или его производные (например, 2145 или 4162) могли использоваться в качестве кода блокировки мобильного устройства. (Поиск по адресу электронной почты владельца в базах утечек показывает, какие пароли владелец мог использовать, в том числе для блокировки своего мобильного устройства).
Рекомендация по защите: действуйте превентивно, отслеживайте данные об утечках и своевременно меняйте пароли замеченные в утечках!
Способ 13: типовые пароли блокировки устройств
Как правило, у владельца изымается не одно мобильное устройство, а несколько. Часто таких устройств набирается с десяток. При этом можно подобрать пароль для уязвимого устройства и попробовать его применить к другим смартфонам и планшетам, изъятым у этого же владельца.
При анализе данных, извлеченных из мобильных устройств, такие данные отображаются в криминалистических программах (часто — даже при извлечении данных из заблокированных устройств с применением различных типов уязвимостей).
Как видно на скриншоте части рабочего окна программы UFED Physical Analyzer, устройство заблокировано достаточно необычным PIN-кодом fgkl.
Не стоит пренебрегать иными устройствами пользователя. Например, анализируя пароли, сохраненные в кэше веб-браузера компьютера владельца мобильного устройства, можно понять принципы генерации паролей, которых придерживался владелец. Просмотреть сохраненные пароли на компьютере можно с помощью утилиты компании NirSoft [11].
Также на компьютере (ноутбуке) владельца мобильного устройства могут быть Lockdown-файлы, которые могут помочь получить доступ к заблокированному мобильному устройству фирмы Apple. Об этом методе будет рассказано далее.
Рекомендация по защите: используйте везде разные, уникальные пароли.
Способ 14: типовые PIN-коды
Как было отмечено ранее, пользователи часто используют типовые пароли: номера телефонов, банковских карт, PIN-коды. Подобную информацию можно использовать, чтобы разблокировать предоставленное устройство.
Если ничего не помогает — можно воспользоваться следующей информацией: исследователи провели анализ и нашли наиболее популярные PIN-коды (приведенные PIN-коды покрывают 26,83% всех паролей) [12]:
| PIN | Частота, % |
|---|---|
| 1234 | 10,713 |
| 1111 | 6,016 |
| 0000 | 1,881 |
| 1212 | 1,197 |
| 7777 | 0,745 |
| 1004 | 0,616 |
| 2000 | 0,613 |
| 4444 | 0,526 |
| 2222 | 0,516 |
| 6969 | 0,512 |
| 9999 | 0,451 |
| 3333 | 0,419 |
| 5555 | 0,395 |
| 6666 | 0,391 |
| 1122 | 0,366 |
| 1313 | 0,304 |
| 8888 | 0,303 |
| 4321 | 0,293 |
| 2001 | 0,290 |
| 1010 | 0,285 |
Рекомендация по защите: проверьте свой PIN-код по таблице выше и, даже если он не совпал, все равно смените его, потому что 4 цифры — это слишком мало по меркам 2020 года.
Способ 15: типовые графические пароли
Как было описано выше, имея данные камер видеонаблюдения, на которых владелец устройства пробует его разблокировать, можно подобрать паттерн разблокировки с пяти попыток. Кроме того, точно так же, как существуют типовые PIN-коды, существуют и типовые паттерны, которые можно использовать для разблокировки заблокированных мобильных устройств [13, 14].
Простые паттерны [14]:
Паттерны средней сложности [14]:
Сложные паттерны [14]:
На некоторых мобильных устройствах, помимо графического кода, может быть установлен дополнительный PIN-код. В этом случае, если не удается подобрать графический код, исследователь может кликнуть на кнопку Доп.PIN-код (дополнительный PIN-код) после ввода неправильного графического кода и попытаться подобрать дополнительный PIN-код.
Рекомендация по защите: лучше вообще не использовать графические ключи.
Способ 16: буквенно-цифровые пароли
Если на устройстве можно использовать буквенно-цифровой пароль, то в качестве кода блокировки владелец мог использовать следующие популярные пароли [16]:
Способ 17: облачные или локальные хранилища
Если нет технической возможности изъять данные из заблокированного устройства криминалисты могут поискать его резервные копии на компьютерах владельца устройства или в соответствующих облачных хранилищах.
Часто владельцы смартфонов Apple, подключая их к своим компьютерам, не осознают, что в это время может осуществляться создание локальной или облачной резервной копии устройства.
В облачных хранилищах Google и Apple могут сохраняться не только данные из устройств, но и сохраненные устройством пароли. Извлечение этих паролей может помочь в подборе кода блокировки мобильного устройства.
Из Keychain, сохраненного в iCloud, можно извлечь пароль на резервную копию устройства, установленный владельцем, который, с высокой степенью вероятности, будет совпадать с PIN-кодом блокировки экрана.
Если правоохранительные органы обращаются в Google и Apple — компании могут передать имеющиеся данные, что, вероятно, сильно снизит необходимость разблокировки устройства, так как данные уже будут у правоохранителей.
Например, после террористического акта в Пенсоконе копии данных, хранящихся в iCloud, были переданы ФБР. Из заявления Apple:
«В течение нескольких часов, после первого запроса ФБР, 6 декабря 2019 года, мы представили широкий спектр информации, связанной с расследованием. С 7 по 14 декабря мы получили шесть дополнительных юридических запросов и в ответ предоставили информацию, включая резервные копии iCloud, информацию об аккаунте и транзакциях для нескольких учетных записей.
Мы отвечали на каждый запрос незамедлительно, зачастую в течение нескольких часов, обмениваясь информацией с офисами ФБР в Джексонвилле, Пенсаколе и Нью-Йорке. По запросам следствия было получено много гигабайт информации, которую мы передали следователям». [17, 18, 19]
Рекомендация по защите: все, что вы отдаете в облако в незашифрованном виде, может и будет использовано против вас.
Способ 18: Google-аккаунт
Данный способ подходит для снятия графического пароля, блокирующего экран мобильного устройства под управлением операционной системы Android. Для использования этого метода нужно знать имя пользователя и пароль от Google-аккаунта владельца устройства. Второе условие: устройство должно быть подключено к интернету.
При последовательном вводе неправильного графического пароля несколько раз подряд, устройство предложит восстановить пароль. После этого надо совершить вход в аккаунт пользователя, что приведет к разблокировке экрана устройства [5].
В связи с разнообразием аппаратных решений, операционных систем Android и дополнительных настроек безопасности данный метод применим только для ряда устройств.
Если у исследователя нет пароля к Google-аккаунту владельца устройства — его можно попробовать восстановить, используя стандартные методы восстановления паролей от подобных аккаунтов.
Если устройство в момент исследования не подключено к интернету (например, SIM-карта заблокирована или на ней недостаточно денег), то подобное устройство можно подключить к Wi-Fi по следующей инструкции:
Способ 19: гостевой аккаунт
На мобильных устройствах под управлением операционной системы Android 5 и выше может быть несколько аккаунтов. Для доступа к данным дополнительного аккаунта может отсутствовать блокировка PIN-кодом или графическим кодом. Для переключения нужно кликнуть на иконку аккаунта в правом верхнем углу и выбрать другой аккаунт:
Для дополнительного аккаунта доступ к некоторым данным или приложениям может быть ограничен.
Рекомендация по защите: тут важно обновлять ОС. В современных версиях Android (9 и выше с патчами безопасностями от июля 2020 года) учетная запись гостя, как правило, не дает никаких возможностей.
Способ 20: специализированные сервисы
Компании, занимающиеся разработкой специализированных криминалистических программ, в том числе предлагают услуги по разблокировке мобильных устройств и извлечению данных из них [20, 21]. Возможности подобных сервисов просто фантастические. С помощью них можно разблокировать топовые модели Android- и iOS-устройств, а также устройства, находящиеся в режиме восстановления (в которое устройство переходит после превышения количества попыток неправильного ввода пароля). Недостатком данного метода является высокая стоимость.
Фрагмент веб-страницы сайта компании Cellebrite, где описывается, из каких устройств они могут извлечь данные. Устройство может быть разблокировано в лаборатории разработчика (Cellebrite Advanced Service (CAS)) [20]:
Для подобной услуги устройство должно быть предоставлено в региональный (или головной) офис компании. Возможен выезд специалиста к заказчику. Как правило, взлом кода блокировки экрана занимает одни сутки.
Рекомендация по защите: практически невозможно защититься, кроме использования стойкого цифро-буквенного пароля и ежегодной смены устройств.