Factory Reset Protection: новый подход к защите персональных данных в Android

    Шестая версия самой массовой и популярной операционной системы в мире Android от Google помимо ряда различных улучшений, которые подробно осветили при её анонсе и запуске, содержит как минимум одну интересную, а главное полезную опцию безопасности, о которой не рассказали широко.



    С каждым годом телефоны и планшеты становятся всё более технически продвинутыми и могут выполнять всё больше задач. Первоначально самыми ценными данными на устройствах были сообщения СМС, контакты, реже — заметки или файлы. Сейчас же при потере актуального устройства, используемого владельцем «на полную», злоумышленнику могут достаться контакты, сообщения, фото, пароли из приложений, данные банковской карты и доступ к ней, облачные хранилища, корпоративная почта, файлы — словом, очень много личной и ценной информации, с которой можно совершить разного рода махинации, начиная от пранков и заканчивая мошенничествами и вымогательствами.

    Factory Reset Protection, или FRP в Android M, делает устройства на порядок более защищёнными при краже или утрате по другой причине, оставаясь фактически незаметными для владельца устройства.

    Как работает Factory reset protection?


    Как и было написано ранее, данная функция фактически никоим образом не усложняет жизнь владельца устройства, все, что нужно сделать для её активации на примере Nexus 6P от Huawei, это ввести в телефон данные аккаунта Google при первом запуске, а также задать пароль любого типа для защиты от несанкционированной разблокировки.


    Шикарный Nexus 6P от Huawei

    Отдельно стоит отметить, что в устройствах разных производителей реализация активации данной функции может разниться: так для Samsung на базе Android 6 опция находится в настройках Samsung account.


    Не менее шикарный Samsung S7 Edge

    Для того чтобы понять, как это поможет в реальной жизни, давайте рассмотрим вариант с утратой телефона, защищенного FRP и паролем. Итак, телефон у злоумышленника, но подобрать пароль он не может (разумеется, ставить пароль 1234 явно не стоит, если в телефоне есть хоть что-то ценное). Если цель кражи сами данные, следующие этапы — это прошивка кастомного Recovery или с помощью ПО без стирания userdata. Первое не получится ввиду закрытого по умолчанию загрузчика, а во втором случае после включения телефон сразу же в обязательном порядке запросит доступ к сети и попросит ввести логин и пароль от Google аккаунта, которые использовались до этих операций, и пока это не сделано, пройти настройку телефона невозможно.

    Наверняка среди читателей есть те, кто хорошо разбираются в Android, и они наверняка скажут, что можно прошить кастомное, то есть не официальное ПО без сервисов Google вообще или же сделать полный формат памяти перед прошивкой. В Google предусмотрели это, первое снова невозможно с закрытым загрузчиком, второе же не даст результата.

    Таким образом, любое действие, направленное на сброс данных или смену ПО, приведет к запросу пароля и почты от введенного до совершенных действий аккаунта.

    Как это устроено?


    При выполнении условий для активации FRP данные для проверки помещаются в раздел памяти, который используется для хранения калибровок радиочасти устройства. Хитрость данного хода заключается в том, что эта область памяти однократной записи. Таким образом, перезаписать их или подменить просто невозможно без чрезвычайно серьезного подхода к делу, который будет заключаться в выпаивании модулей памяти и борьбе с новой криптографией Android. В остальных случаях злоумышленник получит телефон без данных, которым даже не сможет пользоваться.

    iCloud activation lock против FRP — кто лучше?


    Первооткрывателем такого механизма стала компания Apple с iCloud activation lock, так что без их сравнения описание было бы неполным, ведь решение от Google вышло позже, и наверняка не без оглядки на конкурента.

    • Первоначальная настройка и необходимость задания пароля.

    В последних версиях Android и iOS создание пароля запрашивается по умолчанию, но не является обязательным, так что тут паритет.

    • Явное предупреждение при сбросе устройства к заводским настройкам из меню настроек.

    Тут продукт Apple в явном виде попросит отключить опцию по предотвращению повторной активации только при прошивке через ПК/MAC не из DFU, в остальных случаях считается, что ввести пароль и зайти в меню сброса может только владелец устройства. Android нигде и никак не предупреждает о том, что что-то активировано при сбросе. С точки зрения безопасности это плюс, с точки зрения сюрпризов и юзабилити — минус.

    • Подсказки и простота снятия блокировки владельцем устройства, которому известны и логин и пароль или их варианты.

    В iOS показаны начало и конец адреса почты, который использовался на устройстве до сброса, в Android — нет. С одной стороны, это плюс к безопасности, с другой — хотя бы мизерная возможность снять блокировку своими руками в случае если устройство передали вам для использования, или же оно стало жертвой экспериментов детей.

     

    Разумеется, любую или почти любую защиту можно взломать или обойти, это лишь вопрос необходимости и ресурсов для решения задачи. Но стоит помнить, что когда в Apple ввели данную защиту, число краж iPhone резко пошло на спад ввиду того, что разбор телефона на детали уж слишком специфичный и нетривиальный процесс для злоумышленника. Если появление данного механизма после большего распространения Android M на рынке приведет к такой же тенденции — это будет уже большой победой.

    Тем же, кто планирует отдать своё устройство на базе Android M для постоянного использования детям, коллеге, родственникам или попросту продать, стоит помнить, что для деактивации FRP необходимо удалить аккаунты из соответствующего меню до сброса настроек, а также выполнить очистку данных из меню «безопасность».

    Что в итоге?


    Очень приятно, что в Google пусть и не публично и с большой помпой (что было бы логично, и вполне оправданно) всерьез взялись за аспект защиты персональных данных пользователей, коих в сервисах компании хранится огромное множество. Пусть FRP и не идеальная система защиты, но для большинства ситуаций её возможностей, вкупе с экстренной возможностью по удаленному управлению Android устройством, должно хватить большинству
    М.Видео
    90,52
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 58

      +1
      У Самсунга Reactivation Lock еще с Android 5 работает.
        0
        Правильно ли я понимаю, что прошивка через flashtool в данном случае тоже не сработает?
          0
          Прошивка прошьется, но при активации телефона будет просить прежний логин-пароль. Привязывать эту активацию к IMEI в Андроидах нет смысла, т.к. на процессорах MTK он меняется на раз-два, нужно к какому нть ID процессора, тогда будет сложней.
            0
            Вообще FRP появился еще на Android 5.0(в документации МТК он есть, релиз платформы 5.0 MR1), у мтк он поддерживается начиная с 6582(и 72 тоже, но в том документе не указано). На мтк избавиться от данных от туда проще простого — берем скаттер для нашего устройства и флештулом форматим кусок с этим frp(для каждой платформы расположение раздела отличается и, согласно Application Note — L Userdata partition for Customer, его размер составляет несчастных 1024кб).
              0
              MTK процессоры по-моему вообще для всего открыты — что хочешь, то и делай с ними. Даже если полностью флешь затереть вместе с бутом, то в домашних условиях с помощью единственного USB кабеля можно поднять аппарат в первоначальное состояние. С одной стороны это хорошо, но с другой — не очень.
                0
                Если вендор понавключает SecureBoot и кучу всякой другой защиты при сборке прошивки, то фиг потом с флештулом поработаешь. Проверено уже той же Meizu. Правда MX4 и M2 mini уже разлочили. Но через флештул они все равно не шьются. Хотя прошивки есть на все Meizu на базе МТК. Просто без auth файла, который есть только в R&D и на заводе Meizu в виде USB донгла, прошить не получится(флештул будет ошибку кидать).А большинству вендоров просто пофиг на эти защиты(я как то с ней поигрался при сборке фулл прошивки для 6582, но после прошивки новых загрузчиков и ROM'a ни в какую не смог запустить кастомное рекавери)
          0
          Пока что защита доступа к Recovery работает из рук вон плохо. Столкнулся с этим на xiaomi mi4s, где достаточно через Download mode «прошить» zip-архив. Тоже самое касается смартов от Samsung и HTC (отличаются способы, но результат один), да и думаю девайсов других производителей.
            0
            Кстати да, меня пугали тем, что надо будет просить у сяоми разрешение на разблокировку бутлоадера, а оказалось там вот такая дыра в виде Download mode
            0
            Не очень понял, с открытым загрузчиком это все бесполезно становится?
              0
              Открытый загрузчик он на то и открытый. С телефоном можно делать всё что угодно.
              Хорошо, что хоть научились проверить подпись в adb. Теперь не удастся натворить делов на чужом компьютере, если вы вдруг забыли отключить режим разработчика.
              0
              Как по мне — хватило бы принудительного форматирования внутреннего накопителя при попытке анлока загрузчика. Как это было сделано у Sony (как минимум). В любом случае если телефон украли, то никакие блокировки его не вернут. Наоборот лучше не кирпичить его — больше шансов найти с помощью триангуляции по IMEI, когда новый владелец будет им пользоваться (то что в некоторых странах есть проблемы с тем, чтобы заставить органы искать по IMEI — совсем другой разговор). А вот данные защитить полезно, да.
                +1
                Вы не правы.
                Мой usercase:
                телефон украли, стоит полный фарш защиты (аккаунт, пароль на настройки с блокировкой изменения аккаунтов). В итоге даже просто пользуясь телефоном нельзя поменять учетку :)
                В тот же день подается заявление, в котором зафиксирован IMEI, серийник и модель телефона (дальше поймете зачем).
                Если же он выходит в сеть (а кто не выйдет на iPhone в интернет? зачем он тогда нужен?), сразу палится на карте.
                Распечатывается карта, звонок следаку, который ведет дело (который просто отвечает за заявление, никто на самом деле там нифига не делает), и они радуясь готовому делу едут к «клиенту» забирать мой телефон.

                Такое до этого нововведения можно было провернуть только с iOS.
                  0
                  Я правильно понимаю, что это работает чисто за счёт встроенного ПО смартфона, которое палит текущее местоположение, при выходе в сеть, если дистанционно активировать «режим угона»?
                    0
                    Верно.
                    И снять такую блокировку можно 3 способами:
                    1) в обычном режиме телефона (пока он еще не заблокирован) зная логин и пароль, а также пароль к доступу в настройки;
                    2) в режиме телефона, когда его прошили — зная логин и пароль (считаю самым уязвимым местом);
                    3) перепаять чип на плате, который отвечает за эту безопасность (только используя донор).
                    0
                    Говорят, что из-за этого опытные воры часто сдают краденые айфоны на запчасти. И тогда ваш IMEI больше нигде не засветится.
                    Интересно, отслеживаются ли через сеть ID запчастей, чтобы краденая запчасть отказалась работать в новом телефоне? Вроде подобную защиту вводили для сканера отпечатка в шестерках…
                    0
                    Полный сброс делает HTC, а вот Sony по крайней мере на старых моделях позволяет разблокировать загрузчик без потери данных.

                    В любом случае, полная блокировка — это хорошо, и это заметно на примере устройств от Apple. А полная блокировка по умолчанию, но с возможностью отказаться (открыв загрузчик) — хорошо вдвойне.
                      0
                      Полная блокировка плоха тем, что телефоном больше не будут пользоваться, и фиг его найдёшь. Разберут его на запчасти и всё. Надо наоборот, чтобы телефоном пользовались как можно активнее.

                      Что касается «зато не будут воровать». Устройств на Android огромный зоопарк. И явно у разных производителей будут разные степени надёжности защиты. Вряд ли преступники будут иметь огромные списки устройств, которые можно воровать, и которые нельзя.
                      0
                      Если боитесь за данные — шифруйте память, заодно если разблокируют загрузчик, то получат только зашифрованные данные.
                        0
                        С сони не так гладко, при большом желании есть возможность и его разблокировать и без потери данных.
                        P.S. так как у меня R&C аккаунт, написать в личку автору не могу, в предложении про разбор телефона: тривиальный — простой, не обладающий сложностью, пусть частичку «не» добавит.
                        0
                        Только ради такой защиты на iOS и покупал iPhone.
                        *знакомым лично вернул уже 4 телефона так

                        Посмотрим, если реально эта штука будет непробиваемой — то Android останется только конкурентную камеру (хотя бы уровня шестерки) запилить — и iOS не нужна :)
                          0
                          У меня на Самсунге, которому 3 года, такая-же приблуда, уже трижды его возвращал :)
                            0
                            хм, и никак ее стереть нельзя? рут, перепрошивка? на iOS для этого надо чип выпаивать. Сомневаюсь, что Samsung так парился.
                              0
                              На сколько помнится у Самсунга тоже аппаратная привязка идет. Перепрошивка либо хард ресет приведет повторной активации. Рут думаю тоже нет смысла делать, даже если и используются ключи во флеш памяти, то они привязываются к серверу.
                                0
                                Я когда обновился до 5.0 появилась эта опция, я посчитал, что это чисто софтовая фигня которую можно снять элементарной перепрошивкой, и ради прикола включил. Когда чуть позже хотел перепрошиться не смог разблокировать/перепрошить загрузчик, рут стоял, но не помог. Дня 3 с бубном скакал пока не допёрло снять галку «Блокировка активации» (введя, конечно, пароль от моего аккаунта Самсунг), только тогда смог прошить сторонний загрузчик и перепрошить телефон. Телефон — Note 3.
                            0
                            Пройдусь по аппаратам, с которыми работал и имел дело на прямую.
                            У ряда Samsung-ов FRP лечится. Для Prestigio в природе есть «отвязные» прошивки. Пусть не для всех… для тех, у кого нету — флештулом с другого незалоченного аналогичного тела надо содрать раздел с калибровками и записать в донора.
                            У асусов местами достаточно залить инженерку и поверх снова user-mode прошивку. Хотя столкнулся был со случаем, когда у 5 ZenPhone (американца от рождения) была залита WW прошивка и FRP ушло в никуда.
                            И случаев таких — легион. Что в общем и в частности говорит о недоработанности и кривизне реализации решений как таковых.
                              0
                              Добавлю. Для LG (тот же Nexus 5X) есть LGUP, который делает телефон чистым как с завода.
                                0
                                тут дыры активно латаются с обновлениями безопасности Android, так фокус с OTG и звонком в экстренные службы уже закрыли. Как не крути, «попрыгать» с таким аппаратом придется.
                                0
                                Не нравится привязка к сервисам гугла. Вот нет у меня аккаунта в гугле, принципиально.
                                  0
                                  Так никто ж не заставляет пользоваться аккаунтом гугла, просто создать его как дополнительную ступень защиты. А телефонную книгу/фотки/etc синхронизировать с другими сервисами. Я вот гуглоаккаунт для телефона всегда отдельный завожу, всё-таки дополнительное неизвестное для злоумышленника.
                                  +2
                                  Что-то я не понял, а шифрование личных данных уже не спасает? Вроде как спасает от всех описанных угроз: смена загрузчика, смена прошивки, всякие recovery и т.п. — все будет мимо, данные либо станут недоступны, либо будет требоваться пароль. От утери/кражи и последующего переиспользования телефона это конечно не спасет, но данные будут недоступны.
                                    0
                                    Конечно, спасает, но это невыгодно производителям и спецслужбам. Все эти ухищрения предпринимаются исключительно для того, чтобы разработчики системы и приложений (а через них — и спецслужбы) всегда могли иметь бесконтрольный доступ к данным пользователя. Как только даже честный производитель пытается внедрить действительно эффективную защиту через шифрование — на него сразу же начинают давить спецслужбы, поэтому и внедряются прежде всего такие половинчатые решения.
                                    0
                                    мдааа…
                                    Вот приходит ко мне человек и говорит, тут дочка, сын, жена (нужное подчеркнуть) заблокировали телефон графическим ключом, или глючит и т.д. и т.п. Сделать хард ресет и прошить не получится? И что телефон на помойку или в оф. сервис?
                                      +2
                                      Тут для себя надо выбрать: безопасность или удобство. Когда устанавливаешь шифрование и пароль, который потом забываешь — ССЗБ. Событие эквивалентно тому, что ставишь в квартире непробиваемую дверь и теряешь единственный экземпляр ключа.
                                        0
                                        Дело в том, что непробиваемую дверь нечаянно не поставишь и «из коробки» стоит обычная. Ставят усиленную дверь лишь те, кому это действительно нужно и кто осознаёт все плюсы и минусы. А 90% пользователей не очень сознательны, поэтому такая фича из коробки увеличит количество телефонов, отправляющихся в мусорку. Лучше бы просто делали hard reset при попытке перепрошивки или анлока загрузчика.
                                        0
                                        Если утерян контроль над гугловым аккаунтом — то увы, не получится. Точнее сделать хард ресет и перешить вполне себе получится, но при первом включении надо будет ввести пароль от этого самого гуглового аккаунта.
                                          0
                                          В iOS на этот случай продумано так — на определенные настройки можно поставить пароль (который никак не связан ни с учеткой ни с паролем разблокировки). В итоге — не зная пароль вряд ли получится существенно навредить устройству.
                                            0
                                            Похоже на то. Можно еще на запчасти (корпус, тач, дисплей, аккумулятор). Все было бы хорошо, если уровень подготовки пользователей соответствовал всем нововведениям. Хотя, есть тенденция к обслуживанию оборудования у официалов. У них и masterkey найдется.
                                              0
                                              Да, но просто увидев меня и телефон, условно, без каких либо документов вряд ли они согласятся его применить вот так вот и будут правы.
                                                0
                                                Для Apple таких ключей нет и если покупатель забывает снять блокировку при возврате устройства — оно просто лежит на складе у продавца до списания.
                                                  0
                                                  Справедливости ради, скажу что в Европе/США Nexus 6p, Pixel C как минимум тоже тупо меняли.
                                              0
                                              У смартфонов Meizu очень хорошая защита. При установке пароля на разблокировку доступ к рекавери только по вводу пароля. После 15-ой неудачной попытке спрашивает пароль от аккаунта.
                                                0
                                                Ваша информация надёжная? И на каких аппаратах так сделано?
                                                  0
                                                  У Xiaomi тоже в новых аппаратах блокируют загрузчик, прошиться нет способа (без разблокировки через офлайн сервис). То есть не только пользовательские данные целы, но и телефоном нельзя воспользоваться. Однако пока технология видимо сырая, ибо как-то при желании обходят, но шансы на успех не очень велики. Эту информацию рекомендую проверить, она может содержать неточности и устаревшие сведения.
                                                  0
                                                  То есть если у меня пароль на локскрине (ну и разблокировка по отпечатку), то даже украв телефон — вор ничего сделать не сможет? Я не очень хорошо ориентируюсь в андроиде, рекавери это как DFU в iOS? Или всё же хардрезет доступен?
                                                    0
                                                    Не сможет, ресет сделать можно, но и осле этого воспользоваться не выйдет никак. Дальше окна с подключением к сети не пустит, требуя логин и пароль.
                                                    0
                                                    А как на Meizu восстановить пароль не имея flyme-аккаунта? (Device Manager на аппаратах Meizu не работает)
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      Не совсем, просто нужно сначала выйти из аккаунта, потом сбросить телефон.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          такого уж есть и много
                                                      0
                                                      очнулись…
                                                      Место где хранится FRP не ОТP (не одноразовое) иначе бы следующий владелец не смог бы ввести свой новый аккаунт. это раз
                                                      Все прекрасно снимается. Если в паблике этого нет — не значит что этого вообще нет. Это два
                                                      В паблике полно инфы по старым аппаратам. тот же 4пда. это три

                                                      Получается что FRP намного слабее чем Apple ID. По крайней мере в настоящее время. Но судя по тому что Самсунг пошел по стопам Аппле и начал программно привязывать микросхемы друг к другу. То скоро FRP на самсунгах окрепнет.

                                                        0
                                                        Если стирать «в лоб» — то модема больше не будет, равно как и данных, уже проверил на себе один раз.

                                                        Про снимается тут вечная игра в догонялки — одни оставляют лазейки (вольно или нет), вторые их находят, и так далее. Увы, про Apple согласен ибо тут все замкнуто на себе.
                                                          0
                                                          ну это надо постараться изо всей силы чтобы модем на самсунге программно прибить
                                                            0
                                                            Если это Qualcomm достаточно простого непонимания что куда и зачем.
                                                              0
                                                              Согласен. В Домашних условиях почти не восстановить. Но есть СЦ. где это восстанавливается.
                                                                0
                                                                Увы нет, или да, но только заменой самой платы, область с калибровками при сносе просто так не вернуть. Имел печальный опыт с девайсом на MSM8939
                                                                  0
                                                                  интересно что за девайс.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое