Un grupo de investigadores de seguridad de la Friedrich-Alexander-Universität Erlangen-Nürnberg en Alemania han demostrado que pueden extraer las fotos, el historial de navegación, y las listas de contactos de los teléfonos inteligentes Android, incluso si el teléfono está bloqueado y el disco cifrado.
El software, llamado FROST, ha sido liberado como código abierto por los investigadores y es razonablemente fácil de usar, si estás interesado en replicar los resultados. Sólo debes tener en cuenta un detalle, necesario que pongas el teléfono en el congelador por un rato.
El vector de ataque utilizado por Tilo Müller, Michael Spreitzenbarth y Felix Freiling se conoce como ataque de arranque en frío (cold boot attack). Un arranque en frío (o hard booting) ocurre cuando reinicias un sistema cortando la alimentación por completo, y luego encendiéndola de nuevo.
Normalmente, cuando reinicias el ordenador (un reinicio en caliente), por lo general hay procesos en marcha que limpian la memoria del sistema, pero durante el arranque en frío estos procesos son evitados y el contenido de la RAM se conserva.
Algunos de ustedes dirán: «Pero la memoria RAM es volátil, y por tanto perderá sus datos tan pronto se corta la alimentación». Y yo les diré que tienen razón, pero sólo hasta cierto punto. Ciertamente la RAM es volátil, y requiere picos regulares de energía para conservar sus datos, pero cuando se corta la energía, en realidad toma unos pocos segundos o minutos para que los datos se pierdan. Si tienes algún modo de leer la memoria RAM, entonces podrás extraer todo tipo de información sensible, en particular, la clave de cifrado utilizada para cifrar el disco duro o memoria flash.
Este fallo (o característica) se conoce como remanencia de datos, y también se refiere a la tendencia de los discos duros y otros soportes magnéticos para conservar los datos, incluso después de haber sido borrados.
Sin embargo, leer la memoria RAM no es sencillo. En el caso de los ordenadores más grandes, puedes tomar el stick de memoria RAM y trasplantarlo en otro equipo, y leer los contenidos de la memoria allí. Con los dispositivos embebidos, tales como teléfonos inteligentes y tabletas, no tienes esa opción, y ahí es cuando FROST (Forensic Recovery Of Scrambled Telephones) entra en juego.
FROST es una herramienta de recuperación de imagen para Android (muy parecido a ClockworkMod) que te da acceso a todos los datos almacenados en la memoria RAM después de un arranque en frío. Desde el menú principal de FROST, puedes intentar recuperar las claves de encriptación del disco completo (FDE) desde la memoria RAM, o simplemente volcar todo el contenido de la RAM en otro PC a través del puerto USB para su posterior análisis.
Ahora bien, como dije antes, puede tardar entre unos pocos segundos a unos pocos minutos para que la RAM pierda sus datos. Una de las variables que causa esta variación es la temperatura, así que enfriar la RAM hará que conserve los datos durante más tiempo. En un trabajo de investigación particularmente impresionante [ver PDF] descubrimos que se ha demostrado que el nitrógeno líquido puede preservar el contenido de la DRAM por toda una semana.
Sin embargo, en este caso particular los investigadores de seguridad colocaron un teléfono Samsung Galaxy Nexus en un congelador durante una hora, hasta que la temperatura interna del teléfono se redujo a 10°C (50°F). Entonces, mediante la rápida eliminación e inserción de la batería (que se debe hacer en menos de 500 milisegundos), y entrando en FROST, fueron capaces de hacer una descarga completa de la memoria RAM del teléfono. Sin el congelador, la memoria RAM del teléfono habría perdido sus datos antes de que se pudiera recuperar.
Aunque FROST es notable como el primer ejemplo exitoso de un ataque de arranque en frío en Android, FROST es sólo el último de una larga lista de herramientas de ataque de arranque en frío. En un mundo en el que el cifrado completo del disco es la norma y no la excepción en los círculos criminales, la posibilidad de recuperar las claves de cifrado de la memoria es de vital importancia para el FBI, la CIA y otras agencias de inteligencia de todo el mundo.
Actualmente es una práctica estándar para algunas fuerzas de policía para asegurarse de manera absoluta de que los ordenadores no se apagan durante las incursiones, hasta que hayan sido completamente analizados en busca de las claves de cifrado y cualquier otro dato que todavía pueda haber en la memoria RAM.
No obstante, hay defensas que pueden ser empleadas contra los ataques de arranque en frío, como por ejemplo no almacenar las claves de cifrado en la memoria RAM, pero por ahora parece que Android sigue siendo vulnerable. Por suerte, no todo los hackers y atacantes maliciosos estarán dispuestos a seguir todo el proceso para acceder a este dispositivo.