网红香蕉机遭遇取证突破

admin 2022年6月22日12:46:05取证分析评论6 views1889字阅读6分17秒阅读模式

案例

随笔

知识

声音

其他


编者按+前沿通报系列

Nokia 8110就是坊间戏称的网红香蕉机,硬件资源虽比真正的功能机强,但性能仍十分局促,手机应用均基于html5开发,也是醉了。

因为市场较小且独特,鲜有执法部门关注。虽说是老人机,可谁能保证老人不犯罪、不犯错呢?幸好小编有个朋友对此有一些研究,还取得了一些意外突破。


第一个取证障碍


HMD公司成立于2016年5月,总部设在芬兰,公司总裁和首席执行官均为原诺基亚高管。HMD已经获得诺基亚手机和平板电脑品牌的十年授权。


然而第一个问题出现了:HMD并没有公开Nokia 8110 4G的调试接口,设置里面也找不到开启调试选项。难道开发者就只能放在手心把玩,不能插线深入了解么?


俄罗斯高手打破壁垒


来自俄罗斯的Luxferre打破了这层壁垒。他通过“导航上”+关机键组合按钮进入KaiOS Recovery。

网红香蕉机遭遇取证突破

此时他留意到,recovery日志中有一串字符串“MMB29M … 6.0.1 … test-keys”,于是大胆推测,整个系统的签名密钥来自公开的Android Open Source Project(AOSP) 6.0.1_r3源代码分支。

事实上,他猜对了。


网红香蕉机遭遇取证突破



有了签名密钥,下一步就是制作基于busybox + ash脚本的OTA升级包(update.zip)了。Luxferre首先通过自制OTA升级包,把system分区(/dev/block/bootdevice/by-name/system)dump到SD卡;分析dump出来的分区内容后,再自制另一个OTA升级包(见文章最后网盘里面的smith.zip),修改“/system/b2g/defaults/settings.json”,把“developer.menu.enabled”和“debug.console.enabled”均设置为true。重启后,Nokia 8110 4G的设置里面终于有了调试相关的选项。


网红香蕉机遭遇取证突破




完善和简化突破方法


过了一段时间后,Luxferre发现了一个更加简洁的开启adb调试模式,并且无需修改system分区设置文件:通过输入手机指令“*#*#33284#*#* 即可。


小编友情提示:*#*#debug#*#*,看看数字和字符的对应关系,大家破解密码的时候可以考虑。


友情提示:dump整个EMMC连续遭遇大坑


在看完Luxferre的文章后,笔者第一反映,竟然想起了山寨功能机横行年代的时候,IMEI全为0的奇葩情况。毕竟现在一大批安卓山寨机也是test-keys横行,装个系统级别的恶意软件简直易如反掌。想不到现在Nokia也会这样子…….


网红香蕉机遭遇取证突破


既然Luxferre可以dump system分区,而且还公开了OTA升级包签名制作工具(见文章最后网盘里面的stockerize.zip),那按照他的思路,整个EMMC存储也可以dump出来吧?结果笔者在这里跌了不少坑,归纳起来有:


(A)recovery中,fstab挂载配置文件写死了SD卡只能以vfat格式(也就是FAT32格式)挂载,不能使用ext4格式。


(B)由于(A),单个文件不能超过4G(FAT32格式限制)。


(C)若在编译阶段busybox没有指定支持大文件选项,则在某些情况下,busybox无法处理大于2GB的文件。


在多次尝试失败后,笔者终于通过分批dump的方式解决了相关问题,顺利把整个EMMC存储dump到sd卡;然后在电脑上,使用cat命令将几个分块文件合并成一个大文件 emmc_bak.file,合并后的文件可以用7-zip打开做进一步的系统分析。

(文件合并命令如下:“cat emmc.0 emmc.1 emmc.2 > emmc_bak.file” )


网红香蕉机遭遇取证突破

(测试dump emmc的时候所执行的命令)




相关脚本,请参阅dump-emmc-full.sh和dump-only-system-part.sh,下载地址:https://pan.baidu.com/s/1rdH3BagpPTfAk7cMthSzqg,密码:3a4r。

网红香蕉机遭遇取证突破

(dump出来的整个EMMC存储内容,和system分区文件)


小编强烈提醒:Nokia也算是手机界的鼻祖级企业了,依然犯了如此低级的错误:使用公开测试密钥来签名操作系统。这与华住集团的软件开发人员,把数据库连接参数放到Github上何其相似?!

一言以蔽之,任何的高大上,都有下水道级别的漏洞,只要你肯去发现……




网红香蕉机遭遇取证突破

请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!





原文始发于微信公众号(信息时代的犯罪侦查):网红香蕉机遭遇取证突破

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月22日12:46:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网红香蕉机遭遇取证突破 https://cn-sec.com/archives/903405.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: