Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google ha davvero reso più difficile usare i Pixel come reference target AOSP. Con già Android 16 sono stati infatti omessi i device tree e i driver binaries dei Pixel dall’ultima release AOSP, mentre il reference target è stato spostato verso Cuttlefish, il device virtuale di riferimento, quindi “meno trasparenza sul reference stack”.
Inoltre la documentazione Android e il CDD di Android 16 dicono che le chiavi che proteggono CE/DE storage devono essere legate a hardware-backed Keystore, Verified Boot e root of trust hardware, e devono essere securely erased durante bootloader unlock/lock. Questo alza davvero l’asticella per acquisizione fisica e analisi post-mortem.
Il collo di bottiglia si sposta dal laboratorio al momento del sequestro. Con Android moderno, il vero vantaggio non è più “avere il box giusto”, ma intercettare il device nello stato giusto, con il processo giusto e con il team giusto.
Lo dico perché Android separa chiaramente storage DE e CE; il CE resta inaccessibile finché l’utente non sblocca il device, le chiavi devono essere legate a hardware-backed Keystore, Verified Boot e hardware root of trust, e lo sblocco del bootloader deve comportare la cancellazione sicura dei dati utente.
Se il telefono è in stato “before first unlock”, gran parte dei dati sensibili sta nel Credential Encrypted storage, che Android richiede di tenere chiuso finché non arrivano le credenziali corrette; inoltre il CDD vieta metodi per aprire il CE senza credenziali, escrow key o specifiche implementazioni di resume-on-reboot. In più, le chiavi possono restare non esportabili dentro TEE/SE/StrongBox. La conseguenza è che su molti casi reali il device bloccato diventa molto meno utile come bersaglio di una physical acquisition generica.
Android con FBE consente accesso al DE in Direct Boot, ma il CE arriva solo dopo il primo sblocco. NIST, già nelle linee guida operative sulla mobile forensics, osserva che il triage on scene è particolarmente importante quando un device cifrato viene trovato già sbloccato, perché una parte dei dati può non essere più disponibile dopo il lock o l’esaurimento della batteria. Per la pratica investigativa questo significa che i primi minuti valgono più di molte ore in laboratorio.
In conclusione, è chiaro che il cambiamento vero non è però una singola feature. È la direzione del mercato: più protezioni hardware-backed, più controllo sull’integrità del dispositivo, meno standardizzazione del reference stack.
Per aziende, consulenti e team di incident response questo significa una cosa molto concreta: i vecchi modelli basati su procedure standard e tool “push-button” reggeranno sempre meno. Serviranno più competenze, più capacità di live analysis e una comprensione molto più profonda dell’architettura reale dei device.
Tradotto in termini di business: l’analisi forense mobile non sparisce, ma diventapiù complessa, più costosa e meno prevedibile.
