RECUPERACIÓN ESPECIALIZADA DE TELÉFONOS MÓVILES

¿Cuales son los procedimientos que seguimos para la recuperación de los Datos?

Casi todo el mundo en algún momento ha tenido un teléfono movil que se ha roto. Las fallas comunes son daños por agua, daños físicos y defectos del fabricante en el hardware o software. La mayoría de las veces los talleres intentan algunas reparaciones básicas para que el teléfono vuelva a funcionar correctamente, pero no recuperan sus datos. En caso de averias fuera de lo habitual en la recuperación de datos de teléfonos móviles existen algunas técnicas de recuperación diferentes que empleamos en función de nuestro análisis inicial del dispositivo y los problemas que está experimentando actualmente. Algunos de nuestros métodos de recuperación de teléfono son:

ISP (PROGRAMACIÓN EN EL SISTEMA)

La mayoría de los teléfonos inteligentes modernos que contienen memoria EMMC (controlador multimedia integrado) generalmente tienen puntos en la placa lógica a los que se pueden soldar cables que se conectan directamente al chip EMMC. La memoria EMMC contiene un controlador (cerebros) y la memoria en un paquete BGA.

Ejemplo de ISP

Aspectos positivos: esta recuperación no suele ser destructiva para el teléfono y se considera uno de los métodos más seguros para extraer datos de un teléfono que no funciona. Crea una copia completa bit a bit de la memoria EMMC. La transferencia de datos es relativamente rápida pero mucho más lenta que un chip off.
Inconvenientes: Cada modelo de teléfono tiene un diseño físico diferente, por lo que cada modelo de teléfono requiere su propio pinout. A veces, estos pines son desconocidos. Desarrollamos muchos pines en nuestro laboratorio utilizando teléfonos de donantes. Otro inconveniente es que los teléfonos inteligentes de modelos más nuevos están cifrando completamente los datos del usuario de forma predeterminada, lo que hace que este método sea inútil (a partir de ahora).

JTAG

Esta técnica se aplica a teléfonos “tontos” más antiguos que no tienen memoria EMMC pero contienen memoria NAND o NOR. Vemos cada vez menos de este tipo de teléfonos; por lo tanto, no llegamos a JTAG tanto como lo hicimos en el pasado. El proceso de “JTAGGING” de un teléfono es una técnica similar al ISP, la principal diferencia es que los puntos en la placa lógica se conectan y hablan directamente con la CPU, no con la memoria.

JTAG como ejemplo

Positivos: No destructivo como ISP. Protocolo muy común para teléfonos más antiguos.
Inconvenientes: no está disponible en teléfonos modernos.

CHIP OFF

Un chip off es cuando el chip de memoria (EMMC, NAND, NOR) se desolda o muele de la placa lógica del teléfono. Este es un proceso delicado que se considera destructivo para el teléfono. Una vez que se quita el chip, se lee en un adaptador de chip por separado del teléfono. Si el teléfono utiliza EMMC, no es necesario realizar más trabajo en el volcado de datos que no sea la extracción de datos. Si se utilizó NAND o NOR, es muy probable que el volcado de datos necesite modificaciones antes de que se puedan extraer los datos del usuario. Esta es una técnica de último recurso.

Chip-Off

Aspectos positivos: funciona en dispositivos muy dañados, como el teléfono partido por la mitad o atropellado. Puede omitir el bloqueo de pantalla de un teléfono y otras medidas de seguridad (no cifrado).
Aspectos negativos: pueden dañar físicamente el teléfono. No funciona en los teléfonos más nuevos debido al cifrado. Requiere más experiencia que ISP o JTAG.

REPARACIÓN A NIVEL DE MICRO COMPONENTES

La reparación a nivel de componentes se está volviendo cada vez más una necesidad en la recuperación de teléfonos celulares, principalmente debido a factores como el cifrado. Los iPhones de Apple han cifrado sus datos desde el 3GS, lo que ha hecho que los tres métodos anteriores sean inútiles durante muchos años. La única forma de obtener acceso a un iPhone roto es repararlo a un estado de funcionamiento mayormente. Los teléfonos Android más nuevos también sufren la misma suerte debido al cifrado. La reparación a nivel de microcomponente significa que estamos examinando el dispositivo bajo un microscopio para determinar los componentes defectuosos y repararlos o reemplazarlos. Algunos de estos componentes son pequeños, por lo que se necesita precisión y paciencia para realizar este nivel de trabajo.

Reparación de nivel de microcomponente

Aspectos positivos: normalmente repara un teléfono a un estado en el que se enciende y funciona por completo con normalidad. Hay puntos de falla comunes en los teléfonos que ayudan a acelerar este proceso.
Inconvenientes: Puede llevar muchas horas localizar los componentes defectuosos y reemplazarlos si no son fallas comunes.

ROOTING / EXPLOITS Y HERRAMIENTAS FORENSES

Ocasionalmente, el teléfono no está dañado físicamente, pero el cliente aún no puede acceder a sus datos por varias razones (un ejemplo común serían los teléfonos de la serie LG G que se sabe que tienen un problema de ciclo de arranque). Debido a defectos de fabricación, estos teléfonos no se iniciarán completamente en el sistema operativo, lo que hará que el dispositivo sea inútil y el usuario no pueda recuperar sus datos. Otro candidato para este tipo de recuperación: uno de nuestros departamentos de policía local nos refirió a un cliente que tenía el teléfono de su hijo recientemente fallecido. El teléfono tenía un bloqueo de contraseña que estaba en su último intento de entrada antes de limpiar el teléfono. Usando nuestra plataforma forense, pudimos desactivar la contraseña en el teléfono y obtener acceso.
Cuando un teléfono está rooteado (obtiene acceso completo) o explotado, básicamente estamos eludiendo la seguridad del teléfono para extraer los datos. Utilizamos las últimas herramientas forenses, así como herramientas personalizadas desarrolladas internamente para ayudar en la recuperación de nuestro teléfono celular.

Aspectos positivos: la mayoría de los exploits no alteran ningún dato del teléfono y los que sí modifican muy pocos datos. Se admiten muchos teléfonos Android más nuevos.
Negativos: Requiere un teléfono que funcione. Si no se hace correctamente, un teléfono puede volverse completamente inútil o restablecerse de fábrica. Las nuevas actualizaciones del teléfono pueden parchear un exploit conocido, volviéndolo inútil, lo que requiere más investigación y desarrollo.

Deja una respuesta