GrapheneOS e a extração forense de dados (2024)

 (discuss.grapheneos.org)
2 pontos por GN⁺ 2025-09-12 | 1 comentários | Compartilhar no WhatsApp
  • GrapheneOS vem ganhando atenção por sua alta segurança e privacidade, em um nível comparável ao iOS
  • Em maio de 2024, ocorreu um ataque enganoso nas redes sociais alegando falsamente que o GrapheneOS era vulnerável à extração de dados
  • Ferramentas forenses como a Cellebrite conseguem fazer extração sem consentimento em grande parte dos dispositivos Android/iOS, mas o GrapheneOS não é comprometido quando está com os patches de segurança mais recentes
  • A extração de dados baseada em consentimento ocorre quando o usuário desbloqueia um dispositivo que é de sua propriedade; só nesse caso a extração é possível
  • A combinação de Pixel 6 ou superior com GrapheneOS também bloqueia ataques recentes, como força bruta de senha e invasões via conexão USB

Visão geral do GrapheneOS e contexto do ataque nas redes sociais

  • GrapheneOS é um sistema operacional baseado em Android, open source e focado em segurança e privacidade, oferecendo proteção no nível do iOS ou até superior
  • Em maio de 2024, ocorreu um ataque nas redes sociais que incentivou o equívoco de que o GrapheneOS havia sido comprometido por ferramentas forenses
  • Na realidade, foi um caso de extração de dados baseada em consentimento do usuário, distorcido de forma maliciosa para transmitir a falsa ideia de que o GrapheneOS era vulnerável

Visão geral de forense digital e extração de dados

  • Forense digital é o processo de coleta e análise de evidências eletrônicas
  • Esse processo extrai e analisa materiais relacionados a provas criminais ou disputas legais em diversos dispositivos, como computadores, smartphones e mídias de armazenamento
  • No entanto, tecnologias forenses podem ser usadas indevidamente para violação de privacidade, retaliação e manipulação de provas
  • O GrapheneOS desenvolve várias medidas de segurança com o objetivo de impedir extração de dados sem consentimento e adulteração do dispositivo

Cellebrite e seu impacto

  • A Cellebrite é uma empresa israelense de destaque em forense digital, conhecida pela ferramenta UFED (Universal Forensic Extraction Device)
  • Ela vende equipamentos legalmente para governos e órgãos judiciais, mas também vende para países autoritários ou envolvidos em repressão de direitos humanos
  • Com essa ferramenta, tentativas de extração de dados de smartphones são realizadas em várias regiões do mundo

Métodos de extração de dados e contexto técnico

  • A primeira etapa da forense digital é a extração de dados de dispositivos móveis
  • Quando o dispositivo está bloqueado, são tentadas várias abordagens (invasão, força bruta) para adivinhar senha/PIN
  • Dois estados de um smartphone:
    • BFU (Before First Unlock): estado em que, após a inicialização, o aparelho ainda não foi desbloqueado nenhuma vez; os dados internos estão totalmente criptografados, o que torna a análise forense muito difícil
    • AFU (After First Unlock): após o desbloqueio, as chaves ficam armazenadas na memória, tornando o acesso aos dados relativamente mais fácil

Prática real de extração de dados

  • Estado AFU: tenta-se contornar proteções ou extrair dados após desbloquear a tela usando vulnerabilidades de software
  • Estado BFU: tenta-se descobrir o PIN/senha por força bruta (testando todas as combinações)

Capacidade mais recente de extração de dados da Cellebrite

  • Segundo materiais divulgados em abril de 2024, ela consegue invadir e extrair dados de todas as marcas Android, exceto GrapheneOS, independentemente de o dispositivo estar em estado AFU ou BFU

  • Também há algum suporte para os dispositivos iOS mais recentes, e a maioria dos usuários de iPhone recebe automaticamente os patches mais recentes, reduzindo o risco

  • A NSO (fabricante do Pegasus) já demonstrou casos de exploração muito rápida de vulnerabilidades nas versões mais recentes do iOS

  • O GrapheneOS reconhece oficialmente que, desde o fim de 2022, se os updates de segurança estiverem aplicados, nem mesmo a Cellebrite consegue invadi-lo

  • Como as atualizações são ativadas automaticamente, a grande maioria dos usuários mantém a segurança mais recente

  • No entanto, se o próprio usuário desbloquear o aparelho (baseado em consentimento), a extração de dados é possível em iOS, Android e GrapheneOS

    • No GrapheneOS, é possível acessar todos os dados por meio das opções de desenvolvedor e da ferramenta adb

  • Pixel 6 e modelos posteriores + GrapheneOS não podem ser comprometidos nem mesmo por força bruta com combinações aleatórias de PIN de 6 dígitos

O caso do ataque nas redes sociais e a realidade

  • Em maio de 2024, espalharam-se nas redes sociais alegações falsas de vulnerabilidade com base em um caso bem-sucedido de extração baseada em consentimento no GrapheneOS
  • No passado, também houve casos semelhantes de desinformação, como rumores de quebra da criptografia do Signal (quando, na realidade, o próprio usuário abriu o app e o entregou para a perícia)

Estratégia do GrapheneOS para defesa contra invasões forenses

Principais recursos para evitar invasão do telefone

  • Quando o aparelho está bloqueado (por exemplo, com bloqueio de tela), o sistema oferece bloqueio de novas conexões USB e bloqueio da porta em nível de hardware
  • Em cenários como BFU, AFU ou desbloqueio completo, é possível configurar o bloqueio total de USB até o nível desejado pelo usuário
  • A partir de 2024, a segurança foi reforçada até mesmo no firmware do Pixel

Defesa contra ataques de força bruta

  • Dispositivos Pixel 6 ou superiores incluem o Titan M2 (módulo de segurança em hardware) para proteger as chaves de criptografia
  • Após 5 tentativas incorretas, há espera de 30 segundos; após ultrapassar 30 e 140 tentativas, o tempo de espera aumenta; depois disso, só é permitida 1 tentativa por dia (secure element throttling)
  • O sistema passou por avaliação independente no nível AVA_VAN.5, comprovando segurança extremamente robusta
  • Os módulos de segurança do iOS, Samsung e Qualcomm já foram contornados por atacantes corporativos, mas a combinação GrapheneOS + Pixel 6 ou superior não teve casos de sucesso nos últimos anos

Recurso de reinicialização automática (auto reboot)

  • Após o padrão de 18 horas (configurável a partir de 10 minutos), o aparelho reinicia automaticamente e, se não estiver em uso, volta ao estado BFU
  • Assim, mesmo que um invasor desenvolva um exploit, o tempo real disponível para ataque fica limitado ao período entre o desbloqueio pelo usuário e a reinicialização

Conclusão e perspectivas futuras

  • A equipe do GrapheneOS continua reforçando várias melhorias de segurança e recursos automáticos de proteção
  • No futuro, pretende introduzir proteções ainda mais fortes e convenientes, como autenticação em duas etapas com impressão digital + PIN e UI automática para passphrase aleatória
  • Embora haja tentativas de espalhar desinformação mesmo em um cenário que grupos de invasão sofisticados não conseguem romper, informações baseadas em fatos podem ajudar a combatê-la

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-12
Comentários do Hacker News
  • Acho que não existe "governo ruim" e "governo bom"; no fim, tudo depende da perspectiva das pessoas, então não devemos simplesmente confiar todos os nossos dados ao governo só porque ele nos protege de terroristas ou abusadores sexuais infantis; na prática, o governo inevitavelmente acaba abusando de cidadãos inocentes em algum momento, isso já está acontecendo agora e talvez seja justamente por isso que peçam ainda mais controle
    • Acho que um governo é ruim quando não consegue atender adequadamente às necessidades da população, não aos seus desejos; se há gangues, ladrões, drogas e doenças soltas nas ruas, isso não é uma questão de perspectiva, mas algo ruim que o governo deve resolver; sem esse papel, não vejo motivo para o governo existir
    • Por isso, acho problemático confiar a gestão de dados cegamente ao governo ou a qualquer outra entidade; no caso do governo, ao menos existe o argumento do interesse público, mas empresas são movidas apenas pelo interesse dos acionistas
    • É um argumento interessante em teoria, mas no país de onde venho, na prática o governo inspeciona os celulares das pessoas e usa como prova ações contrárias ao governo ou atividade em redes sociais para impor penas extremamente longas; um caso recente pode ser visto neste link; por mais seguro que o GrapheneOS seja, para evitar adequadamente esse tipo de ameaça é indispensável ter um celular completamente limpo
    • Acho que alguém está deliberadamente desviando o foco da discussão; para mim, esse tema nem precisa mais ser debatido: um governo que sequestra, tortura, mata e faz pessoas "desaparecerem" é claramente um governo ruim; historicamente e na prática, China, Rússia, México, Coreia do Norte, Belarus, os Bálcãs e muitos países africanos são exemplos disso; não é porque 34% dos meus vizinhos querem me mandar para um campo de concentração que isso se torna justificável; pessoalmente, eu jamais gostaria de ir para um lugar assim; e exemplos do tipo "depende do ponto de vista" são justamente um retrato clássico de um governo ruim; na verdade, não é tão difícil ser um bom governo, basta não agir de forma ruim
    • Acho esse tipo de pensamento muito problemático, ou seja, concluir que o governo é ruim simplesmente porque diverge da opinião individual; parece esquecer que, para uma civilização viver com muitos integrantes e visões diferentes, às vezes é preciso fazer concessões
  • Gosto muito do GrapheneOS, mas seria perfeito se existisse uma versão que permitisse extrair dados privados de apps ou obter um shell root quando o usuário já estivesse autenticado; os desenvolvedores dizem que root abre um grande buraco no modelo de segurança, mas se houvesse um jeito seguro de usar root, eu poderia modificar diretamente os apps que quero usar, e isso faria dele o sistema ideal para mim; claro, dá para baixar e assinar por conta própria, mas não quero ir tão longe
    • Dá para configurar root no GrapheneOS, mas isso apaga os dados, então é essencial fazer backup; se você realmente precisa de root, dá para operar num fluxo tipo backup dos dados -> ativar root -> restaurar
    • Eu também queria esse recurso; uso um build userdebug feito por mim para adb root, mas seria muito melhor se houvesse suporte oficial
    • Significa que não dá para ter os dois; acesso root é um buraco de segurança muito grande, então nunca será suportado na versão oficial; fora criar suas próprias chaves e imagens customizadas, não há outro caminho
    • Fico curioso sobre qual é exatamente o modelo de ameaça ao ativar root no celular e por que isso não pode ser totalmente mitigado; a maioria dos servidores e desktops funciona bem mesmo com root habilitado
  • É [2024], e isso parece ser um rascunho; pode ser visto no blog do autor: https://telefoncek.si/2024/05/2024-05-30-grapheneos-and-forensic-extraction-of-data/
  • Ler isso me dá vontade de comprar um Pixel e instalar o GrapheneOS; mesmo que assumamos que as big techs tenham alguma intenção de proteger privacidade, no fim elas continuam sendo alvos fáceis por meios legais; se amanhã os EUA ou a UE aprovarem uma lei obrigando backdoors em todos os dispositivos móveis, o mundo inteiro será afetado
    • Dá para testar gastando bem pouco; comprei um Pixel 7 Pro recondicionado no eBay por 250 dólares e instalei o GrapheneOS; é um celular dedicado para usar quando saio, com um plano eSIM de 20 dólares; se eu perder ou ele for roubado em viagem, não me preocupo, basta cancelar o eSIM, comprar outro Pixel e reinstalar o GrapheneOS; em casa, meu aparelho principal, um Pixel 10 Pro, continua seguro
    • Só para constar, o governo do Reino Unido tentou exigir que a Apple criasse um backdoor com base no Investigatory Powers Act de 2016, mas a Apple recusou
    • Meu último Pixel (4a) ficou em estado bem ruim depois de cerca de um ano e meio; queria saber se existe algum dispositivo Android mais resistente; usei um Apple SE por vários anos sem problemas, então voltei para a Apple; ainda quero muito experimentar o GrapheneOS
    • Eu também quero comprar um Pixel por causa do GrapheneOS, mas a Google, mesmo sendo uma empresa de um trilhão de dólares, sempre foi pouco agressiva em vendas globais
  • Isso me soa como uma tentativa de refutar especulação da internet com mais especulação da internet; a Cellebrite não divulga o status de suporte para aparelhos recentes, então o público em geral não tem como saber exatamente que avanços existem em relação a iPhones recentes, iOS, Pixel 9/10 ou versões mais novas do Android; ainda assim, as duas empresas dizem oficialmente que a Apple oferece muito mais criptografia de ponta a ponta do que a Google quando se usa Advanced Data Protection, e ambas investem em segurança de hardware e de plataforma (por exemplo, o SEAR da Apple); a existência do GrapheneOS em si é positiva, mas esse post em particular não parece ajudar muito na prática
    • Um documento vazado no começo deste ano inclui até o Pixel 9; pelo menos segundo o material vazado na época, o GrapheneOS aparece como não suportado pela Cellebrite quando os patches são posteriores a 2022, sendo mais seguro até do que o firmware padrão do Google; um dos motivos de o GrapheneOS evitar esse tipo de discussão é que ele adota sem hesitação medidas como a desativação da porta USB, algo que a Google evita por questões de usabilidade; diferentemente de Google, Samsung e Apple (sem modo lockdown), o GrapheneOS sempre exige desbloqueio quando o usuário tenta conectar o telefone a um carro, tela, memória USB, adaptador para conector de 3,5 mm etc., então enfrenta menos reclamações; além disso, ele aceita perda de desempenho na compilação para adicionar várias opções de reforço de segurança; inclusive explica casos reais, ainda que raros, em que isso foi crucial para a defesa quando algum ataque teve êxito (caso do GrapheneOS); talvez não saibamos o estado mais recente da Cellebrite, mas o fato de ela não ter conseguido avançar direito por mais de três anos aumenta bastante minha confiança no GrapheneOS; claro, GRU ou NSA talvez tenham métodos de ataque excepcionais, mas até o momento não há indícios de que ferramentas vendidas no mercado tenham rompido o GrapheneOS
    • Alguém vem vazando continuamente aos desenvolvedores do GrapheneOS a situação de suporte da Cellebrite; segundo esse material, a documentação oficial afirma que só era possível hackear versões do GrapheneOS com nível de patch anterior a 2022; eles também já obtiveram documentos atualizados até junho de 2025 e poderiam conseguir mais se necessário, mas no momento há coisas mais urgentes a fazer; se surgir alguma mudança, a principal fonte que fornece esses materiais entrará em contato diretamente, então estão tranquilos com isso (link)
  • Se você está pensando em migrar do iOS para o GrapheneOS, este guia de migração e review pode ajudar: https://blog.okturtles.org/2024/06/the-ultimate-ios-to-grapheneos-migration-guide-and-review/
    • Também existem serviços confiáveis como o Ente, que pode substituir Apple Photos e Google Photos, além de várias outras alternativas
    • Um pouco fora do tema, mas tenho curiosidade sobre quantas pessoas mantêm o GrapheneOS hoje; se Daniel Micay desaparecesse de repente, quero saber se há gente e infraestrutura prontas para assumir e continuar o desenvolvimento
  • Sobre a afirmação de que "...isso ocorre porque o GrapheneOS reforça mais a segurança contra esses ataques do que o iOS. O iPhone também tem secure element, mas os atacantes o contornam há muito tempo, e o mesmo vale para Samsung e Qualcomm", fico curioso se na prática o Pixel é mesmo mais resistente a ataques de força bruta e se iPhones e afins são realmente quebrados com facilidade por essas ferramentas
    • Não concordo com essa avaliação; respeito muito o GrapheneOS, mas quando recebe críticas, às vezes aparece uma linguagem que beira o marketing exagerado; artigos e informações sobre isso normalmente se baseiam em vazamentos da lista de suporte da Cellebrite (arquivos dentro de um dispositivo administrativo com armazenamento), então pode variar conforme a época; na época da publicação do artigo, a Cellebrite conseguia fazer força bruta em iPhones anteriores ao iPhone 12 (antes da introdução do componente de armazenamento seguro), e o iPhone 12 estava em fase de pesquisa para ser quebrado em versões anteriores ao iOS 17; no Android, desde o Pixel 6 (com a introdução do Titan M2), força bruta não é possível; fundamentalmente, o modelo de confiança de iPhone e Pixel é quase o mesmo: a senha do usuário é combinada com entropia segura para gerar chaves criptográficas, e o processador de segurança limita o número de tentativas; a arquitetura da Apple está muito bem documentada na documentação oficial, e o Weaver do Google funciona de forma semelhante; no geral, considero tanto um iPhone moderno com iOS recente quanto um Pixel recente com GrapheneOS como combinações que oferecem proteção de ponta no setor; como o artigo diz, a maior parte dos demais dispositivos e firmwares fica bastante atrás no desenho do software de segurança (ROM, bootloader etc.)
    • Tirando a parte do "com facilidade", está basicamente certo
  • A principal preocupação de segurança que me vem à cabeça são os blobs, que são drivers proprietários de hardware indispensáveis em celulares Android e rodam com privilégios elevados; se o GrapheneOS não os isolar em sandbox de forma rigorosa, um atacante habilidoso poderia comprometer a segurança por meio de backdoors nos drivers de wifi, modem ou bluetooth; nesse tipo de blob, é difícil para os desenvolvedores do GrapheneOS fazerem algo que resolva o problema pela raiz; por exemplo, dá para imaginar um driver de wifi interceptando a digitação do PIN
    • O GrapheneOS realmente executa esses blobs em sandbox de forma bem rigorosa; o usuário strcat do HN tem muitos textos explicando isso em detalhe respostas detalhadas do strcat
  • Enquanto um smartphone tiver uma porta USB, segurança total não pode ser garantida; o backdoor que os governos querem passa justamente por esse caminho; recomendo votar pela privacidade e pela liberdade; independentemente da posição política, governos financiam esse tipo de operação em segredo; inúmeras terceirizadas em plataformas como a AWS analisam dados despejados por UFED (ou seja, diretórios do celular compactados em zip), incluindo e-mails, histórico de chamadas, configurações da operadora, histórico do navegador, SMS, cookies, apps, logs e dados de apps — basicamente tudo o que estiver no telefone
    • Pelo que diz o TFA (texto principal), o GrapheneOS também permite desativar a porta USB
  • Acho isso tecnicamente interessante e gostaria muito de ver um artigo comparando como ferramentas de perícia digital se saem contra cada sistema operacional nas configurações mais seguras possíveis
    • Se for para falar da "configuração mais segura possível", talvez seja simplesmente um aparelho desligado e sem conexão com nada, em modo offline total