PubPub utiliza cookies de terceros para ayudar a nuestro equipo y nuestras comunidades a

comprender qué características y contenido en PubPub están recibiendo tráfico. No

vendemos estos datos ni los compartimos con nadie más, y no utilizamos procesadores
de terceros que agreguen y vendan datos. Visite su configuración de privacidad para
obtener más información.

AceptarInhabilitar

BuscarIniciar sesión o Registrarse

 CASA

 BLOG

 ACERCA DE

 CONSEJO EDITORIAL

 EDITORIALES
Inicioaceptado

Contra la ley: lucha

contra los abusos
legales de la vigilancia
digital
por  bunnie Huang   y  Edward Snowden
ahora en la sucursal# pública

Contra la ley: lucha contra los abusos legales de la vigilancia digital

Contenido·

Colaboradores (2)
Publicado

21 de julio de 2016

DOI
10.21428 / 12268

Como clase, los periodistas de investigación enfrentan un mayor

riesgo de represalias por su trabajo. Cifras conservadoras del
Comité para la Protección de los Periodistas muestran que al
menos 1.240 periodistas asesinados por su trabajo desde 1992;
esta cifra incluye solo muertes donde el motivo pudo
confirmarse [1]. Desafortunadamente, los recientes avances en
tecnología están dando lugar a una circunstancia en la que los
periodistas están siendo traicionados por sus propias
herramientas: sus teléfonos inteligentes pueden transformarse
en dispositivos de rastreo. Los gobiernos y las instituciones
políticas poderosas están explotando activamente las emisiones
involuntarias de teléfonos, dejando a periodistas, activistas y
trabajadores de derechos humanos en una nueva posición de
vulnerabilidad constante. Este trabajo tiene como objetivo
brindar a los periodistas una herramienta para observar cuándo
sus teléfonos inteligentes están generando emisiones, incluso
cuando se supone que los dispositivos están en modo avión.
Proponemos lograr esto mediante la introspección directa de
señales que controlan el hardware de radio del teléfono. El
motor de introspección será un módulo de código abierto,
inspeccionable por el usuario y verificable en campo conectado a
un teléfono inteligente existente que no hace suposiciones sobre
la confiabilidad del sistema operativo del teléfono.

Introducción y declaración del problema

Hoy, periodistas, activistas y trabajadores de derechos humanos
ocupan una posición de vulnerabilidad. Una gran parte de esta
vulnerabilidad se origina en la opacidad de los dispositivos
modernos: simplemente no hay herramientas disponibles a
través de las cuales se pueda determinar qué está sucediendo
debajo del vidrio y los iconos, evitando el desarrollo de una
comprensión natural de los estados de dispositivos peligrosos.
No podemos asegurar lo que no podemos inspeccionar.
Según las cifras del Comité para la Protección de los Periodistas,
los reporteros que cubren política tienen más probabilidades de
ser asesinados por su trabajo que cualquier otro, incluso
aquellos que cubren la guerra [1]. Dado el poder y los recursos a
disposición de los políticos que se investigan, estos periodistas
pueden enfrentar amenazas inusualmente sofisticadas. Una
nueva industria de "armas digitales" ha surgido para desarrollar
hardware y software que transforma los omnipresentes teléfonos
inteligentes de los ciudadanos en dispositivos de rastreo ideales,
y esta industria tiene pocos reparos en vender dicha tecnología a
aquellos que buscan violar los derechos humanos [2]. Este es un
desarrollo grave que enfrentan aquellos que dicen la verdad al
poder, ya que la relación entre las personas y sus teléfonos es
mucho más íntima que con las computadoras tradicionales.
Llevado en bolsillos y carteras, Los teléfonos inteligentes y sus
conjuntos de sensores cada vez más robustos dan testimonio día
y noche de la vida de un usuario moderno. Por el contrario, las
computadoras portátiles modernas generalmente carecen
incluso de un módulo GPS básico y luchan por mantenerse
encendidas durante más de medio día. Tan grave como puede
ser la piratería de una computadora portátil comercial o
personal, tales limitaciones de hardware crean restricciones
naturales sobre el alcance de un compromiso.
Incluso sin piratería, los teléfonos móviles transmiten
invisiblemente registros peligrosamente ricos sobre las
actividades privadas de sus propietarios. El recuento de todo el
alcance de esta amenaza a la confidencialidad, coloquialmente
descrito como el "problema de metadatos", está más allá del
alcance de nuestro documento, pero aquellos con un interés
específico pueden encontrarlo abordado extensamente en los
recientes Datos y Goliat de Bruce Schneier [3] . Es suficiente
para nuestros propósitos reconocer que simplemente llevar un
teléfono conectado a la red celular entrega un registro completo
de los movimientos y la actividad de las llamadas a los
operadores de torres y proveedores de servicios, y estos registros
pueden conservarse durante décadas [4].
Para agravar estos riesgos técnicos, Estados Unidos ha
promovido un régimen regulatorio notoriamente laxo en el que
dichos registros disfrutan de poca protección legal significativa
al reducir la "expectativa razonable de privacidad" de los
ciudadanos [5]. Esta doctrina se ha extendido a otros países a
través de una especie de contagio legal, estableciendo una
norma global nociva en la cual los registros alarmantemente
completos de las actividades privadas de los individuos están
disponibles de forma rutinaria para los agentes del gobierno,
incluso en circunstancias en las que esto es indeseable y
socialmente peligroso. Si bien hay pocas dudas de que se abusa
de tales capacidades en lugares como Siria, China, Rusia y
similares, este no es un problema exclusivo de los estados
autoritarios. En efecto, Algunos de los abusos más prominentes
relacionados con la focalización de los teléfonos inteligentes de
los periodistas y los registros relacionados en los últimos años se
han producido en Australia [6] y Canadá [7]. Admitiendo
precisamente el acceso problemático de los registros de un
periodista en lo que concierne a este trabajo, el comisionado de
la Policía Federal Australiana, Andrew Colvin, trató de
minimizar la gravedad de la violación, afirmando: "usamos
metadatos en casi todas nuestras investigaciones". Es una
herramienta muy común que utilizamos ”[8].
El valor de dicho acceso clandestino a los registros y teléfonos
inteligentes de los objetivos es quizás ilustrado de manera más
profética por la Agencia de Seguridad Nacional de los EE. UU.
En un documento de alto secreto, como se resume en la Figura 1.

Figura 1: Diapositivas de Top Secret extraídas del Archivo

Snowden que ilustran la perspectiva de una agencia de
inteligencia sobre los metadatos y los servicios de ubicación
ofrecidos por una importante marca estadounidense [9]
La muerte de la reportera Marie Colvin en 2012 es un trágico
recordatorio de cuán real puede ser esta vulnerabilidad. Una
demanda contra el gobierno sirio presentada en 2016 alega que
fue atacada deliberadamente y asesinada por el fuego de
artillería del gobierno sirio. La demanda describe cómo se
descubrió su ubicación en parte mediante el uso de dispositivos
de intercepción que monitorearon las comunicaciones de antena
parabólica y teléfono celular. [10]
A medida que grupos como el Citizen Lab de la Universidad de
Toronto descubren sofisticadas campañas de piratería dirigidas
explícitamente a los teléfonos de los periodistas [11], tenemos la
obligación moral de considerar qué se puede hacer.
Actualmente, se les pide que confíen en su seguridad a nada más
confiable que la presencia o ausencia de íconos y otras
configuraciones que pretenden representar si el dispositivo está
en "modo avión". Pero el modo avión no es una defensa; por
ejemplo, en iPhones desde iOS 8.2, el GPS está activo en modo
avión. Además, el modo avión es un "interruptor suave": los
gráficos en la pantalla no tienen una correlación esencial con el
estado del hardware. Los paquetes de software malicioso, como
los que Citizen Lab plantó en los teléfonos de los periodistas,
pueden diseñarse para activar radios sin ninguna indicación de
la interfaz de usuario;
Este trabajo tiene como objetivo brindar a los periodistas las
herramientas para comprender y, eventualmente, controlar
cuándo sus teléfonos inteligentes están rastreando o divulgando
su ubicación a través de emisiones de radiofrecuencia.
Proponemos lograr esto mediante la introspección directa de
señales que controlan el hardware de radio del teléfono. El
motor de introspección será un módulo de código abierto,
inspeccionable por el usuario y verificable en campo conectado a
un teléfono inteligente existente que no hace suposiciones sobre
la confiabilidad del sistema operativo del teléfono.

Enfoque y objetivos
Numerosos investigadores y amplios recursos corporativos se
han dedicado a la tarea de construir un teléfono inteligente más
seguro. Sin embargo, los teléfonos inteligentes son
extremadamente complejos y presentan una superficie de
ataque grande y porosa. Además, incluso un teléfono
perfectamente seguro no salvará a un reportero de hazañas
"operadas por las víctimas", como la pesca submarina. La
eliminación de este vector es complicada por el hecho de que los
reporteros efectivos deben comunicarse con una gran variedad
de fuentes que pueden transmitir intencionalmente o no una
carga de malware al reportero.
Como resultado, este trabajo comienza con la suposición de que
un teléfono puede y se verá comprometido. En tal situación, un
reportero no puede tomar el estado de la IU al pie de la letra. En
cambio, nuestro objetivo es proporcionar herramientas listas
para el campo que permitan a un reportero observar e investigar
el estado de las radios del teléfono directamente e
independientemente del hardware nativo del teléfono.
 Llamamos a esto introspección directa, un término que
derivamos de las técnicas pioneras de las industrias espacial [12]
y de supercomputación [13] para mejorar la tolerancia a fallas y
detectar el funcionamiento erróneo del hardware.
Nuestro trabajo propone monitorear la actividad de radio
usando una herramienta de medición contenida en una caja de
batería montada en el teléfono. Llamamos a esta herramienta un
motor de introspección. El motor de introspección tiene la
capacidad de alertar a un periodista de una situación peligrosa
en tiempo real. El principio básico es simple: si el reportero
espera que las radios estén apagadas, avise al usuario cuando
están encendidas.
Nuestro motor de introspección está diseñado con los siguientes
objetivos en mente:
1. Completamente de código abierto e inspeccionable por el
usuario ("No tiene que confiar en nosotros")
2. Las operaciones de introspección son realizadas por un
dominio de ejecución completamente separado de la CPU del
teléfono ("no confíe en aquellos con juicio deteriorado para
juzgar de manera justa su estado")
3. El funcionamiento correcto del sistema de introspección
puede verificarse en el campo (protege contra ataques de "maid
evil" y fallas de hardware)
4. Difícil de activar un falso positivo (los usuarios ignoran o
deshabilitan las alertas de seguridad cuando hay demasiados
positivos)
5. Difícil de inducir un falso negativo, incluso con
actualizaciones de firmware firmadas ("no confíe en el
proveedor del sistema"; los adversarios a nivel estatal con la
plena cooperación de los proveedores del sistema no deberían
poder crear actualizaciones de firmware firmadas que falsifiquen
o eviten el motor de introspección)
6. En la medida de lo posible, el sistema de introspección
debe ser pasivo y difícil de detectar por el sistema operativo del
teléfono (evite la inclusión en la lista negra / focalización de los
usuarios según las firmas del motor de introspección)
7. Interfaz de usuario simple e intuitiva que no requiere
conocimientos especializados para interpretar u operar (evitar
 errores de usuario que conduzcan a falsos negativos; "los
periodistas no deberían ser criptógrafos para estar seguros")
8. La solución final debe ser utilizable a diario, con un
impacto mínimo en el flujo de trabajo (evite obligar a los
reporteros de campo a elegir entre su seguridad personal y ser
un periodista efectivo)
Este trabajo no es solo un ejercicio académico; en última
instancia, debemos proporcionar una solución de introspección
lista para el campo para proteger a los periodistas en el trabajo.
Aunque los principios generales que subyacen a este trabajo
pueden aplicarse a cualquier teléfono, la reducción de estos
principios a la práctica requiere una gran cantidad de ingeniería
inversa, ya que no existen soluciones de teléfono de código
abierto ampliamente compatibles en el mercado. Por lo tanto,
nos enfocamos en un modelo de teléfono único, el iPhone 6 4.7
”de Apple Inc., como el tema para la implementación de campo.
La elección del modelo depende principalmente de lo que
entendemos que son las preferencias y gustos actuales de los
periodistas. Tiene poco que ver con la seguridad relativa de
cualquier plataforma, ya que asumimos que cualquier
plataforma, ya sea iOS o Android, puede y se verá comprometida
por adversarios de nivel estatal.

Las jaulas de Faraday solas no son una

opción
Una jaula de Faraday es un escudo electromagnético construido
a partir de una malla metálica o papel de aluminio. Cuando se
construye y usa adecuadamente, es una contramedida de
vigilancia extremadamente efectiva. El gobierno de los Estados
Unidos ha confiado en ellos durante mucho tiempo como parte
del estándar TEMPEST, que regula los niveles de protección
para los espacios de procesamiento de información clasificados.
Aunque conceptualmente simple, su eficacia depende de una
construcción adecuada y mantenimiento de rutina. Incluso
pequeños agujeros y brechas pueden conducir a emisiones
explotables. Estos agujeros y huecos se desarrollan en las
costuras donde se conectan dos superficies, o donde el conducto
(líneas de comunicación o de alimentación del cojinete) debe
penetrar en la jaula debido a la degradación natural de los
materiales de la jaula por factores ambientales. Deben
detectarse y parchearse (generalmente con cinta de cobre) para
evitar emisiones no intencionales. Incluso las implementaciones
a escala de sala y remolque "chapadas en oro" en el uso del
campo en el mundo real por parte del gobierno en sitios
encubiertos deben estar sujetas a complejos procedimientos
anuales de certificación y acreditación. Dado que detectar algo
más pequeño que una fuga catastrófica puede ser bastante
difícil, estos procedimientos requieren unas horas de trabajo
especializado con equipos sensibles de generación y detección de
señales.
Si bien existe un mercado comercial robusto en jaulas de
Faraday tipo bolsa para teléfonos, no pudimos identificar datos
públicos que confirmen su confiabilidad a lo largo del tiempo en
condiciones reales de uso en el campo. Sin embargo, incluso si la
fragilidad de las jaulas de Faraday, evidenciada tan claramente
por el minucioso mantenimiento requerido de las instalaciones
gubernamentales con clima controlado, no fue de alguna manera
un factor a pesar del abuso que sufren los equipos periodísticos
en los entornos de campo, hay un problema más fundamental:
un teléfono confinado Para una bolsa mágica es tan útil como un
ladrillo caro.
Si bien las jaulas de Faraday son simples en concepto, cualquier
ranura u orificio en la jaula, intencional o no, perderá radiación.
Por ejemplo, la creación de una apertura para la fotografía y el
control de la función de la cámara comprometería
irreparablemente la eficacia de la jaula de Faraday. Por lo tanto,
cualquier jaula de Faraday efectiva iría en contra del requisito
básico de que el teléfono sea utilizable como herramienta
periodística. El objetivo de la introspección directa es permitir a
los periodistas llevar una herramienta única y compacta que
pueda tomar fotografías, grabar videos, grabar audio y servir
como procesador de textos sin traicionar su posición en el
campo. Obligar a un periodista a elegir entre su seguridad, es
decir, mantener su teléfono en una jaula de Faraday, y tomar
fotografías en el campo viola el objetivo número 8. Además,
Finalmente, el uso a tiempo parcial de una jaula de Faraday sin
contramedidas adicionales puede ser problemático para los
 periodistas. Las jaulas de Faraday solo aíslan el teléfono de la
radiación electromagnética, por lo que el malware aún puede
registrar sensores no afectados como el micrófono. Más
significativamente, incluso una breve extracción del teléfono de
la jaula de Faraday puede proporcionar conectividad suficiente
para determinar la posición e incluso transmitir registros
parciales. Por lo tanto, el uso a tiempo parcial de una jaula de
Faraday puede crear una falsa sensación de seguridad, lo que
puede conducir a un comportamiento arriesgado que
eventualmente puede comprometer la posición del reportero o
sus contactos.
En cambio, se recomienda a un reportero que use una jaula de
Faraday junto con los nuevos métodos presentados aquí que
detectan la presencia de amenazas. Una jaula de Faraday
mitigaría cualquier falla de la introspección directa, mientras
que nuestros métodos de introspección pueden alertar a los
periodistas sobre la presencia de intentos de transmisión de
malware y, en algunos casos, mitigar activamente o prevenir
daños.

Métodos y resultados
El primer paso para ejecutar este trabajo fue visitar los
mercados de electrónica de Hua Qiang de Shenzhen para
recolectar muestras y documentación para su evaluación. Estos
mercados se utilizan para el comercio y la práctica de reparación
de iPhone; Como tal, es una rica fuente de repuestos y manuales
de reparación. Los manuales de reparación con frecuencia
contienen planos detallados del iPhone 6, que se utilizaron para
ayudar en el esfuerzo de ingeniería inversa.
Según la selección del modelo de teléfono y la documentación
disponible, podemos enumerar las interfaces de radio
disponibles:

 Módem celular - 2G / 3G / 4G
 Wifi / BT
 GPS
 NFC (Apple Pay)
Aunque nuestro trabajo puede extenderse a sistemas de entrada
como la IMU (unidad de medición inercial), barómetro,
micrófono y cámara, para enfocar el esfuerzo, restringimos
nuestra exploración a solo interfaces de RF que pueden
traicionar directamente la ubicación de un usuario. Tenga en
cuenta que una cámara puede ser derrotada oscureciendo la
lente; Como tal, el diseño físico final de nuestro motor de
introspección probablemente incluirá una función para ocultar
selectivamente la lente de la cámara trasera.

Métodos que no cumplen con nuestros

criterios
Se consideraron numerosas contramedidas semiintrusivas en el
camino hacia nuestra solución actual, que incluyen, entre otras,
la monitorización del espectro de RF, la interferencia activa y el
aislamiento físico selectivo o la terminación de antenas. Las
contramedidas semi-intrusivas requerirían una modificación
mínima del teléfono en sí, lo cual es deseable ya que simplifica la
implementación en el campo e incluso podría permitir a los
reporteros realizar las modificaciones sin ninguna herramienta
especial. Desafortunadamente, todos estos métodos se
consideraron inadecuados, como se discute en los siguientes
párrafos.
El monitoreo del espectro de RF consiste en construir un
receptor de radio externo que pueda detectar transmisiones que
emanan de las radios del teléfono. En algunos casos, se planteó
la hipótesis de que el receptor podría ser tan trivial como un
monitor de potencia de RF dentro de las bandas de radio
previstas. Ya existe un ejemplo simple de dicho monitoreo en
forma de luces novedosas que parpadean en función de la
potencia parasitaria extraída de las antenas GSM. Los problemas
con este enfoque son que 1) solo se pueden detectar de manera
confiable las transmisiones activas de la radio, y 2) el malware
que registra pasivamente la posición del usuario y lo entrega
como una carga útil diferida cuando las radios se activan
intencionalmente no se pueden detectar. Además, este enfoque
está sujeto a suplantación de identidad; Los falsos positivos
pueden ser activados por la presencia de estaciones base
cercanas.
La interferencia activa consiste en construir un transmisor de
radio externo que intente inyectar señales falsas en las radios.
Por lo tanto, incluso si el malware activara las radios y escuchara
las señales reveladoras de posición, en teoría, informaría en gran
medida información de posición falsa. Esto es particularmente
efectivo contra el GPS, donde las señales de GPS son muy
débiles y, por lo tanto, incluso un transmisor local débil debería
ser capaz de dominar los satélites GPS. Sin embargo, el bloqueo
activo se descartó por varias razones. Las emisiones del emisor
podrían crear una señal que se puede rastrear para localizar al
reportero; el bloqueador requerirá una batería considerable, y el
usuario queda vulnerable una vez que se agota la alimentación
del bloqueador. Además, los receptores aún pueden detectar
estaciones base cercanas,
El aislamiento físico selectivo o la terminación de las antenas
consiste en insertar un interruptor electrónico entre los
conectores de la placa lógica y la antena. El interruptor, cuando
se activa, derivaría la antena a una carga resistiva compatible, lo
que reduciría en gran medida la potencia de transmisión y
recibiría la sensibilidad de las radios. Sin embargo, la
verificación experimental en el subsistema WiFi indicó que la
eliminación de la conexión de la antena y la terminación
permanente con una resistencia de derivación todavía filtraba
suficiente RF en los receptores para detectar las estaciones base
locales (por ejemplo, dentro de la misma habitación), lo que
podría ser suficiente información para traicionar la ubicación de
un reportero.

Métodos que cumplen nuestros criterios

Al determinar que las contramedidas semiintrusivas eran
inadecuadas, investigamos opciones que implican medir señales
en la placa lógica del teléfono, generalmente a través de puntos
de prueba diseñados por el fabricante. No es sorprendente que
sistemas complejos como el iPhone 6 de Apple tengan puntos de
prueba integrados en el diseño de la placa de circuito para
ayudar con la depuración. Estas son una parte esencial del
rendimiento y la mejora de la experiencia del cliente; las
unidades defectuosas de la fábrica y el campo se envían de vuelta
 a la sede, y los ingenieros confían en estos puntos de prueba
para determinar la causa raíz de la falla del dispositivo.
Utilizando la documentación del manual de reparación
adquirida del mercado de productos electrónicos Hua Qiang,
catalogamos un conjunto de puntos de prueba internos que
fueron:
1. Accesible con baja probabilidad de daño a la placa lógica
por un operador capacitado
2. Podría proporcionar datos significativos sobre el estado de
la radio
3. Sería difícil o imposible deshabilitar o falsificar (por
ejemplo, a prueba de futuro contra adversarios conscientes de
nuestra investigación).
Para los criterios de accesibilidad (1), los puntos de prueba se
consideraron viables incluso si requerían desoldar un protector
de RF o el conector de la tarjeta SIM, y la extracción manual de
la máscara de soldadura. En nuestra experiencia, un técnico
capacitado puede realizar estas tareas con baja probabilidad de
daños irreparables en la placa base. Estas operaciones no se
recomiendan para principiantes de nivel de entrada. Sin
embargo, nuestras experiencias en Shenzhen indican que
cualquier técnico con habilidades de soldadura modestas puede
ser entrenado para realizar estas operaciones de manera
confiable en aproximadamente 1-2 días de práctica en placas
base de chatarra. Por lo tanto, los técnicos podrían recibir
capacitación para realizar las modificaciones en cualquier lugar
con una demanda suficiente de iPhones modificados.
La Tabla 1 resume los puntos de prueba a los que hemos
accedido y hemos encontrado que proporcionan datos de
introspección que potencialmente cumplen con los criterios (2) y
(3), y las Figuras 2-5 ilustran la ubicación de los puntos de
prueba.
Tabla 1: candidatos de señal interna para introspección.
Figura 2. El experimento de la sonda de bus FE1, FE2. Los
puntos de prueba desde la parte posterior de la PCB están
conectados a la parte superior para facilitar el sondeo.
Figura 3. La parte trasera del experimento de la sonda FE1, FE2.
Los puntos de prueba se encuentran adyacentes al Flash
NAND, debajo de un escudo de RF que se retiró para este
experimento. Los puntos de prueba se cubrieron con una
máscara de soldadura, que se eliminó mediante abrasión
mecánica.
Figura 4. El experimento de sondeo de sincronización UART y
GPS. La mayoría de los puntos de prueba se encuentran debajo
del conector de la tarjeta SIM, que se retiró para este
experimento.
Figura 5. La parte posterior del experimento de sondeo de
sincronización UART y GPS. Se ejecutan un par de cables para
romper WLAN_PERST y las señales relacionadas con la
alimentación para el monitoreo.

Introspección de módem celular

Los buses serie FE1 y FE2 funcionan a 20MHz, con una
oscilación de 1.8V (Figura 6). Este bus se utiliza principalmente
para configurar las radios de módem celular. Cuando las radios
están encendidas, hay tráfico constante en estos autobuses.
Cuando está en modo avión, el tráfico cesa por completo. Los
buses seriales parecen adherirse a un protocolo conocido como
MIPI SPMISM (System Power Management Interface) [14].
Figura 6. Ejemplo de tráfico de bus en el bus FE1.

Las radios celulares funcionan en un entorno complejo y

requieren una adaptación constante de las antenas, los
amplificadores de potencia y la selección de banda para un
funcionamiento adecuado. Se hipotetiza que un intento de
incluso buscar pasivamente estaciones base sin transmitir
requerirá tráfico en este bus; Como mínimo, los interruptores de
antena deben estar encendidos y configurados para recibir. Por
lo tanto, la introspección del módem celular puede ser tan fácil
como notar si hay alguna actividad en los autobuses FE durante
el modo avión.
En aras de la exhaustividad, notamos que puede ser posible que
un atacante configure estáticamente la antena, el canal y la
configuración del amplificador de potencia y convierta el
dispositivo en una radiobaliza que emite una señal que es
inconsistente con el estándar del módem celular pero detectable
a través de otros medios. En este modo, no se observaría tráfico
en los autobuses FE, pero se podría, en teoría, triangular la
ubicación del transmisor con estaciones base modificadas o
receptores especialmente desplegados. Este escenario puede
mitigarse haciendo una inspección profunda de paquetes y
anotando las direcciones a las que se debe acceder para apagar
los sistemas de módem celular. Si se omite alguna de las
direcciones de apagado durante la secuencia de apagado, se
marcaría como una condición potencialmente peligrosa.
Sin embargo, este escenario requeriría modificaciones a las
especificaciones de transporte del módem celular, y como tal
necesitaría desplegar estaciones base modificadas en todo el
territorio para obtener una cobertura de vigilancia adecuada. Es
probable que esto requiera una amplia cooperación tanto de los
proveedores de radio de banda base como de los proveedores de
telefonía celular para crear e implementar de manera efectiva tal
vulnerabilidad. Debido a la dificultad, imaginamos que tal
hazaña estaría disponible solo para adversarios bien organizados
a nivel gubernamental.
Finalmente, el proveedor del teléfono, Apple, podría ser
voluntario (o ser coaccionado) para impulsar una actualización
firmada que envía paquetes aleatorios "NOP" a través de los
buses FE durante el modo avión para forzar falsos positivos y
hacer que esta técnica sea menos efectiva. Nuevamente, en tal
caso, la inspección profunda de paquetes podría ayudar a
descartar el ruido de la señal. Aunque las futuras versiones de
hardware podrían cifrar este bus para frustrar la observación,
creemos que no es posible introducir el cifrado del bus con un
cambio solo de software: los dispositivos periféricos en este bus
carecen de firmware cargable. Por lo tanto, al menos para los
modelos de teléfonos actuales, la inspección profunda de
paquetes debe ser robusta.
Introspección WiFi y Bluetooth
El subsistema WiFi interactúa con la CPU a través de múltiples
buses, a saber, PCI-express y un UART. El subsistema Bluetooth
interactúa con la CPU a través de un UART, con un canal UART
separado para la coexistencia. Debido a la interfaz relativamente
simple del subsistema Bluetooth, debería ser posible detectar de
manera sólida la actividad Bluetooth simplemente
monitoreando las señales BT UART.
Las señales WART UART parecen llevar información de
configuración y estado con respecto a la configuración WiFi,
como lo demuestra el seguimiento UART en la Figura 7.
Figura 7. Datos de ejemplo en el Wifi UART decodificado por un
Tek MDO4014B.

Es necesario seguir explorando los datos contenidos en las

señales para determinar si es posible que un adversario realice
exploraciones de puntos de acceso, que es un medio eficaz de
geolocalización, sin invocar el UART. Desafortunadamente, la
energía WiFi permanece encendida incluso en modo avión, por
lo que monitorear los niveles de voltaje WiFi no tiene
correlación con la actividad de radio.
Significativamente, los riesgos de WLAN, BT y GPS pueden
mitigarse forzando el reinicio del bus PCI WLAN. Al mantener
WLAN_PERST bajo antes del encendido y durante todo el
arranque, WiFi no podrá enumerar en el bus PCI. iOS
continuará arrancando y es totalmente utilizable, pero en el
panel de Configuración, WiFi parecerá estar apagado y no se
puede encender. Los intentos de encender Bluetooth fallan y el
GPS, aunque está activo, no puede acceder a su antena porque la
antena para GPS se comparte con WiFi. Tenga en cuenta que
forzar a WLAN_PERST a un nivel bajo durante el
funcionamiento normal obliga a reiniciar el teléfono, por lo que
deshabilitar WiFi utilizando esta técnica efectivamente requiere
un reinicio.
Este es un método simple pero efectivo para forzar la
desactivación de varios subsistemas críticos, sin posibilidad de
que un firmware actualizado omita un reinicio de hardware
WiFi. Sin embargo, la falla de los subsistemas Bluetooth y GPS
para activarse puede deberse a dependencias solo de firmware.
Se presume que estos sistemas dependen de WiFi para
inicializarse antes de activar los respectivos interruptores de
antena para estos subsistemas, ya que todos comparten un
puerto de antena común. Por lo tanto, es posible que se
desarrolle un exploit para forzar la activación de Bluetooth y
GPS incluso si WiFi se reinicia. Además, puede ser posible que el
malware detecte huellas dactilares en los sistemas en los que el
WiFi no se haya podido inicializar y marque a estos usuarios
para una mayor supervisión.
Por lo tanto, dependiendo del modelo de amenaza del usuario, la
derrota WLAN_PERST puede ser un método simple pero
efectivo para derrotar varias radios con una sola señal, pero
también puede dar información a adversarios avanzados sobre
la presencia de un motor de introspección. Debido a la
efectividad del truco WLAN_PERST, les presentaríamos a los
usuarios la opción de activar esto, pero no lo requeriríamos.
Significativamente, los manuales de reparación indican que el
módulo WiFi / Bluetooth incluye un pin de hardware "RFKILL".
Apple deja este pin desconectado y es muy difícil acceder a
través de mods, pero si los vendedores de teléfonos quisieran
apoyar esfuerzos como este, las revisiones futuras de los
teléfonos podrían romper esos pines para ofrecer una derrota
más elegante que no requiera reiniciar el teléfono o dejar un
firma medible al deshabilitar estas radios.

Introspección GPS
Hasta la fecha, hemos identificado tres métodos posibles para
detectar la activación del GPS. Una es buscar actividad en el
autobús BB UART. Cuando el GPS está activo, los datos de
coordenadas parecen transmitirse a través del bus BB UART. Un
segundo es mirar la señal GPS_SYNC. Cuando el GPS está
activo, la señal GPS_SYNC hace ping en la banda base a una
velocidad de aproximadamente una vez por segundo, con un
ancho de pulso inversamente proporcional a la calidad del
bloqueo del GPS. Un pulso muy amplio indica un alto grado de
incertidumbre en la señal GPS. Finalmente, el GPS tiene un
regulador de potencia independiente que se apaga cuando el
GPS no está activo, para ahorrar energía.

Introspección / derrota de NFC

Para NFC, decidimos que el riesgo / recompensa de habilitar y
monitorear selectivamente Apple Pay no vale la pena. En otras
palabras, no esperamos que los periodistas que operan en zonas
de conflicto confíen en Apple Pay para realizar su trabajo. Por lo
tanto, para simplificar el esfuerzo, optamos por desactivar
completamente Apple Pay desconectando el extremo frontal de
RF de su antena.
Afortunadamente, la antena del NFC está conectada a la placa
lógica principal a través de un solo tornillo. Al quitar este
tornillo y separar la antena de la placa lógica principal,
esperamos reducir sustancial y selectivamente la sensibilidad de
la radio NFC. Se requieren pruebas adicionales para determinar
si esto es suficiente para protegerse contra los ataques de
adversarios que usan amplificadores de alta potencia para
consultar la función NFC de Apple Pay. Si se encuentra
inadecuada, las contramedidas adicionales, que incluyen, entre
otras, la eliminación permanente del chip frontal de Apple Pay
NFC RF de la placa base, son opciones para evitar la explotación
de la radio sin dejar una firma clara que pueda ser detectada por
un adversario.
Figura 8. Ubicación de la conexión de antena Apple Pay,
resaltada en rosa. Imagen original cortesía de iFixit, licencia CC-
BY-NC-SA.

Viabilidad a largo plazo de la introspección

a nivel de PCB
Una crítica a la introspección directa es que a medida que los
conjuntos de chips para teléfonos móviles se integran cada vez
más, la introspección a nivel de PCB se volverá difícil, si no
imposible. Ya hay ejemplos de este nivel de integración en
conjuntos de chips de teléfonos móviles de gama baja, como la
solución MT6260 de un solo chip 2G AP + Baseband de
MediaTek. Desde el exterior, el chip aparece como un
componente BGA normal, pero las imágenes de rayos X revelan
que en realidad está compuesto de varias piezas discretas de
silicio. En la Figura 9, las líneas oscuras, delgadas y bien
arqueadas en los rayos X, son cables de enlace. Aunque el
contorno de los chips de silicio es difícil de resolver en una
radiografía, se puede inferir sus perímetros por el patrón de los
cables de enlace que generalmente se agrupan a lo largo de los
bordes de los chips. Se puede observar que los cables de enlace
no solo se arquean desde los chips a la PCB, pero también entre
chips. En tal diseño, uno podría imaginarse ejecutar buses de
control directamente entre chips sobre los cables de enlace, lo
que hace que la introspección directa sea muy difícil.
Figura 9. Una radiografía del MT6260, una solución 2G AP +
Baseband de un solo chip de MediaTek. Imagen cortesía de
Nadya Peek, con permiso.

A pesar de este nivel extremadamente alto de integración, el

amplificador de potencia de RF y el LNA todavía están en un
paquete separado y conectados al MT6260 con señales de
control a nivel de placa. Un proyecto separado, Fernvale [15],
trató de aplicar ingeniería inversa al hardware MT6260, por lo
que sabemos que, por ejemplo, el interruptor de control TX / RX
de la antena, la señal de habilitación del amplificador de
potencia y las señales de control de selección de banda quedan al
descubierto para la introspección.
¿Por qué MediaTek no logró integrar la electrónica de RF en el
paquete BGA? La respuesta a esta pregunta no es tan clara, pero
probablemente se deba tanto a la física como a la economía.
Desde la perspectiva física, la carga térmica, la integridad de la
señal y la diafonía argumentan en contra de la integración. Los
amplificadores de potencia celular pueden generar varios vatios
de señal de RF, lo que aumenta en gran medida la carga térmica
de un paquete integrado. Además, las frecuencias de RF
favorecen los paquetes de estilo QFN, donde los chips se montan
directamente en marcos de metal que cumplen funciones duales
como disipador de calor y como referencia sólida de tierra de
RF. Esto entra en conflicto con los objetivos alcanzados por un
paquete BGA, a saber, alta densidad de señal y menor costo por
pin. Además, los receptores celulares pueden tener
sensibilidades mejores que -110dBm (~ 10 femtowatts),
mientras que los receptores GPS deben ser mejores que
-125dBm (~ 300 attovatios), por lo que es deseable el
aislamiento a nivel de paquete de receptores sensibles de
circuitos digitales ruidosos. Desde el punto de vista económico,
el diseño de receptores de RF y amplificadores de potencia sigue
siendo una especialidad, y puede ser poco rentable para
MediaTek negociar la compra de troqueles desnudos de
proveedores externos para la integración a nivel de paquete en
sus conjuntos de chips. En cambio, parece que MediaTek había
desintegrado intencionalmente la interfaz de RF y se aseguró la
presencia de múltiples proveedores para crear un mercado
competitivo para dichos chips. y puede que no sea rentable para
MediaTek negociar la compra de troqueles desnudos de
proveedores externos para la integración a nivel de paquete en
sus conjuntos de chips. En cambio, parece que MediaTek había
desintegrado intencionalmente la interfaz de RF y se aseguró la
presencia de múltiples proveedores para crear un mercado
competitivo para dichos chips. y puede que no sea rentable para
MediaTek negociar la compra de troqueles desnudos de
proveedores externos para la integración a nivel de paquete en
sus conjuntos de chips. En cambio, parece que MediaTek había
desintegrado intencionalmente la interfaz de RF y se aseguró la
presencia de múltiples proveedores para crear un mercado
competitivo para dichos chips.
Todo esto apunta a la probabilidad de que durante algún tiempo,
la introspección directa siga siendo una técnica viable, ya que
sus objetivos son los buses que se conectan entre los extremos
frontales de RF discretos y los conjuntos de chips altamente
integrados que los impulsan.

Protegiéndose contra la criada malvada

Aunque los detalles de las técnicas para fabricar hardware a
prueba de manipulaciones están más allá del alcance de este
documento y están bien documentados en otros lugares [16]
[17], en aras de la exhaustividad, es útil tener una breve
discusión sobre el " Evil Maid "escenarios de amenaza que
enfrenta el motor de introspección y los posibles métodos de
mitigación.
Como su nombre lo indica, las amenazas de "Evil Maid" se
refieren a una clase de ataques contra el hardware en los que un
adversario obtiene acceso directo al hardware y lo manipula, tal
vez volver a actualizar el firmware, reemplazar las placas de
circuitos o modificar los circuitos existentes. En el caso del
motor de introspección, Eid Maid puede manifestarse como
cualquier cosa, desde una mucama literal que manipula el
teléfono mientras limpia las instalaciones, hasta una inspección
fronteriza donde el teléfono se examina en privado dentro de
una instalación operada por el estado, tal vez por un Periodo de
tiempo extendido.
Las amenazas simples, como la actualización de JTAG de la
MCU, pueden protegerse quemando los fusibles en la MCU que
evitan las actualizaciones de firmware o el borrado en masa; la
MCU elegida para la implementación de prueba de concepto del
motor de introspección admite ambas opciones.
Significativamente, el motor de introspección no se debe
actualizar explícitamente en el campo: las unidades de campo no
deben admitir ninguna opción simple de actualización de
firmware para protegerse contra ataques triviales de Evil Maid.
El motor de introspección también está diseñado para una
autocomprobación fácil, en el sentido de que uno puede verificar
que la introspección funciona simplemente sacando el teléfono
del modo avión y observando que todas las señales
monitoreadas se activan. Si una señal monitoreada no informa
fuera del modo avión, se puede concluir directamente que tal vez
el motor de Intropsection está defectuoso o ha sido manipulado.
Por supuesto, tal prueba debe realizarse solo con seguridad, tal
vez antes de ingresar a una zona de peligro.
El peor de los casos es un adversario a nivel estatal bien
preparado y bien financiado que prepara una versión
personalizada del MCU del motor de introspección. Esto está
dentro de la capacidad de la Agencia de Seguridad Nacional de
los Estados Unidos [18]. Por ejemplo, el MAESTRO-II a 0.515
”casi se ajusta a la huella del ICE40-FPGA utilizado en el
prototipo actual del motor de introspección. Además, según la
descripción textual, JUNIORMINT probablemente encajaría
dentro de la huella del paquete MCU más pequeño. Estos
implantes podrían sobremoldearse dentro de un marco de
plomo QFP (paquete plano cuádruple) y grabarse con láser con
marcas que los hagan indistinguibles de los componentes
genuinos, al menos para el ojo no entrenado. Finalmente, la
firma de potencia relativamente alta de un implante de este tipo
podría enmascararse al incluir una MCU genuina en el mismo
paquete,
Tales vulnerabilidades podrían mitigarse al portar el diseño del
motor de introspección desde el uso de paquetes QFP fáciles de
ensamblar hasta el uso de dispositivos WLCSP (paquete de
escala de chips a nivel de oblea). Los dispositivos QFP fueron
elegidos para permitir a los técnicos de habilidad moderada con
herramientas simples construir un motor de introspección desde
cero. Aunque los dispositivos WLCSP son más difíciles de
ensamblar a mano, son baratos y accesibles gracias a su
popularidad en los teléfonos móviles. La ventaja de las partes
WLCSP con respecto a los ataques de Evil Maid es que no tienen
paquete, son esencialmente piezas de silicio desnudas. Por lo
tanto, suplantar esto requeriría la fabricación de silicio
personalizado. Por supuesto, la fabricación de silicio es posible,
pero es más difícil que sobremoldear un módulo de implante
estándar.
La mayoría de las defensas estáticas tradicionales de uso común
hoy en día, como cerraduras, alarmas y sellos a prueba de
manipulaciones pueden ser superadas por un adversario
sofisticado y dedicado si se le da suficiente tiempo
ininterrumpido en el objetivo. Con base en la experiencia del
autor principal, incluso los sitios de campo encubiertos de la
Agencia Central de Inteligencia de los Estados Unidos calculan
el valor de las medidas defensivas no en función de si pueden ser
derrotadas, sino de cuánto tiempo se prevé que esas derrotas
requieran de un atacante experto. Aún así, aquellos con un
interés más profundo en aumentar dichos costos para mitigar el
riesgo de amenazas de entrada secreta están invitados a revisar
el esfuerzo de investigación Phoneypot de la Fundación Libertad
de Prensa y el Proyecto Guardian [19].
Del mismo modo, remitimos a los lectores a las discusiones
sobre PUF, funciones físicamente no razonables, para crear
sellos a prueba de manipulaciones y para marcar placas de
circuitos y componentes clave [16]. Un PUF bien ejecutado
puede complicar enormemente un ataque incluso por un
adversario bien preparado, creando una barrera de tiempo.
Dado que el motor de introspección está destinado a mantenerse
siempre dentro del campo de visión, derrotar a los sellos a
prueba de manipulación puede llevar varios minutos, si no
horas, para que un adversario bien entrenado evite
La conclusión es que, en realidad, como un dispositivo crítico
para la seguridad de tamaño reducido, el motor de introspección
no debe dejarse desatendido. La regla general es si un adversario
 tiene acceso físico sin escolta a las posesiones del periodista,
entonces el adversario gana; insertar una baliza de seguimiento
en el motor de introspección no es el camino de menor
resistencia. Por ejemplo, sería más fácil calzar algo en un zapato
o una maleta.

Implementación
Tocando los puntos de prueba
Hasta ahora, hemos discutido el descubrimiento y el mapeo de
puntos de prueba en la placa base iPhone6.
Desafortunadamente, los puntos de prueba están dispersos
alrededor de la placa base y son difíciles de identificar a través
de una inspección casual. Con el fin de facilitar el uso de un
teléfono con puntos de prueba, hemos desarrollado una técnica
para crear un circuito impreso flexible envolvente (FPC) con
áreas de derivación que coinciden con las ubicaciones de los
puntos de prueba. Llamamos a este FPC el "panel táctil".
Una vez que el panel táctil se coloca en su lugar utilizando un
conjunto de guías físicas fáciles de ubicar, las zonas de golpeteo
dentro del tablero táctico tenderán a colocarse sobre los puntos
de prueba previstos, lo que facilitará el proceso de aprovechar el
teléfono y al mismo tiempo proporcionará un método para
administrar y enrutar las señales a un solo conector FPC. Otra
ventaja del panel táctil es que modulariza el proceso de tapping
específico del teléfono, lo que permite mezclar y combinar varios
paneles táctiles con varios módulos de análisis de señal.
Hay tres desafíos principales que abordar al crear el panel táctil:
1. Precisión: los puntos de prueba pueden ser tan pequeños
como 0.3 mm en una cuadrícula y tan pequeños como 0.8 mm,
en distancias cercanas a 100 mm. Esto significa que las
mediciones de las ubicaciones de los puntos de prueba deben ser
precisas para 1 parte en 1000.
2. Doble cara: se debe mantener la misma precisión al
envolver el lado opuesto de la placa base.
3. Resistencia: la estructura del panel de derivación debe
poder absorber las compensaciones de macroescala debido a las
variaciones esperadas del proceso y las tolerancias de
fabricación, sin afectar la precisión relativa de los puntos de
prueba.
El primer paso para crear el FPC es crear un escaneo de alta
resolución y precisión de escala de la placa base. Como los
escáneres planos CMOS modernos tienen una profundidad de
campo muy baja, es posible que primero tenga que quitar
cualquier componente alto de la placa base. Esto significa que
crear un diseño de panel táctil requerirá el sacrificio de un
teléfono. Afortunadamente, para el iPhone 6, hay un mercado
líquido para material de desecho en todas las etapas de
producción, y pudimos asegurar fácilmente una placa base en
blanco que se desechó muy temprano en la producción debido a
defectos internos sutiles dentro de la PCB (Figura 10) .
Figura 10. Una exploración de un panel de placa base iPhone6
en blanco. Este panel contiene cuatro copias de la placa base.

En nuestro caso, capturamos un escaneo de la placa base a

1200ppi usando un CanoScan D660U. Una vez capturada, la
precisión de rotación del panel se corrigió al nivel de píxeles, y
las escalas X e Y se confirmaron de forma independiente
utilizando un calibrador digital con una precisión de 0.02 mm.
Debido al mecanismo de imagen de los escáneres de superficie
plana, es importante corregir las escalas X e Y de forma
independiente, ya que no están vinculadas mecánicamente.
Una vez capturadas y corregidas, las imágenes se colocaron en
un programa de dibujo vectorial, como Adobe Illustrator. Se
dibujan líneas de guía aproximadas alrededor del borde de la
PCB, los orificios de montaje ubicados y los puntos de prueba
rodeados (Figura 11). Si bien no es estrictamente necesario,
dibujar bordes y orificios de montaje ayudan a servir como un
control de cordura en la escala y la alineación.

Figura 11A. Parte superior de la placa base iPhone6, rotación y

ajuste de escala, recortado y anotado con puntos de prueba.
7
Figura 11B. Vista ampliada de la región de la tarjeta SIM, que
muestra detalles de la anotación de arte vectorial.
Una vez anotado, el archivo de Illustrator se exportó a un
formato DXF y luego se importó a Altium Designer (Figura 12).
Estos contornos importados forman la base para crear el diseño
de un panel táctil con escala precisa.

Figura 12. Importación inicial de esquemas básicos y puntos de

prueba en Altium Designer.

Luego, los contornos se giran, se voltean y se espacian, de modo

que el anverso y el reverso se enfrentan a la misma superficie del
diseño FPC. El espacio entre la parte delantera y trasera refleja
la altura anticipada de "Z" que debe abarcar el panel táctil FPC.
Hasta este punto, hemos abordado los desafíos 1 y 2 de la
creación del panel táctil, a saber, la precisión de escala y el
mantenimiento de esta precisión en un diseño de doble cara. El
desafío final, la resistencia, se aborda durante el enrutamiento
de las señales de prueba dentro del FPC. Las rutas largas de
señales se enrutan a lo largo de un patrón serpentino, lo que
permite que el FPC se estire y absorba problemas de tolerancia a
gran escala inducidos por variaciones en las alturas de los
componentes y las tolerancias de fabricación. Estas técnicas se
pueden ver en el diseño final del panel táctil en la Figura 13.

Figura 13. Diseño final del panel táctil FPC en Altium Designer
[20].
Figura 14. Toque el tablero como se fabricó.

Una vez fabricado (Figura 14), el panel táctil debe instalarse

dentro del iPhone6. Para hacer esto, primero debe quitar dos
componentes de la placa base del iPhone6: 1) la ranura de la
tarjeta SIM y 2) el protector de RF que cubre la parte inferior
inferior de la PCB. La eliminación de estos dos elementos
requiere acceso a una estación de soldadura de aire caliente, y se
considera una operación de rutina para los técnicos de
reparación de teléfonos. Estos componentes deben eliminarse
porque obstruyen el acceso a puntos clave de prueba. El escudo
de RF no es necesario para que el teléfono funcione y se puede
dejar después del arnés. La ranura de la tarjeta SIM se restaura
al enrutar las señales SIM en el conector de la placa de
derivación a un par de ranuras para tarjetas ubicadas en el
prototipo del módulo de análisis de señales del motor de
introspección.
La fijación de la placa del grifo requiere raspar la máscara de
soldadura que cubre los puntos de prueba, colocar la placa del
grifo sobre el punto de prueba y colocar la soldadura en el
conjunto. El panel de derivación tiene orificios ubicados
estratégicamente sobre los puntos de prueba para que la
soldadura pueda fluir a través del panel de derivación y calentar
directamente los puntos de prueba, lo que facilita la operación
de aprovechamiento y reduce las posibilidades de cortocircuitos
accidentales. Las Figuras 15 y 16 ilustran la instalación de la
placa táctil, tanto en la placa base desnuda como en el contexto
de todo el teléfono.
Figura 15. Toque la placa instalada en una placa base iPhone6.
(Superior) Vista frontal. (Inferior) Vista posterior.
Figura 16. Vistas del panel táctil instalado dentro del contexto
mayor de un iPhone6. (Superior) Abra el iPhone. (Inferior)
iPhone cerrado.

Módulo de Análisis de Señal

Como se mencionó anteriormente, el motor de introspección se
divide en dos partes principales: el panel de derivación y el
módulo de análisis de señal. Al dividir las señales de
introspección de misión crítica con una placa de derivación en
un formato de conector FPC de paso común de 0,5 mm, los
usuarios pueden combinar teléfonos y módulos de análisis. Ser
capaz de intercambiar módulos de análisis significa que
podemos evitar construir un módulo de análisis complejo, de
talla única, que inevitablemente conlleva desafíos en la
validación, puede necesitar actualizaciones de firmware y
presentar una superficie de ataque inflada en general. En
cambio, podemos construir módulos específicos y mínimos
viables que sean más fáciles de inspeccionar, mantener y
asegurar, con cada módulo personalizado para un conjunto dado
de escenarios de amenaza.
Para esta investigación de prueba de concepto, desarrollamos un
módulo de análisis de señal simple que es capaz de contar
eventos en los buses de introspección críticos: SPMI, UART y
GPS. El conteo de eventos es análogo al conteo de paquetes de
red: uno sabe que ha sucedido tráfico, pero nada sobre la
naturaleza del tráfico. El recuento de eventos se eligió bajo la
teoría de que en modo avión no se deben enviar paquetes, por lo
tanto, un indicador de tráfico casi binario es suficiente. Se
podría optar por implementar un módulo de análisis de señal
que pueda registrar e inspeccionar el tráfico del bus de radio
utilizando filtros más sofisticados, pero requeriría un hardware
sustancialmente más capaz para mantenerse al día con las tasas
de bits relativamente altas presentes en estos buses (20 Mbps
para 2x SPMI y 3 Mbps para 3x UART).
Figura 17. Diagrama de bloques del módulo de análisis de señal
de prueba de concepto.
 Por lo tanto, los objetivos de diseño para el módulo de análisis
de señal de prueba de concepto son los siguientes:

 Capacidad para contar y registrar eventos de paquetes en

los buses relevantes
 Diseño de hardware simple que utiliza los componentes
más abiertos e inspeccionables disponibles en el momento del
diseño.
 Base de código relativamente simple, que permite una
auditoría y verificación fáciles
El diagrama de bloques de la Figura 17 describe la arquitectura
básica del módulo de análisis de señal de prueba de concepto del
motor de introspección. La implementación esquemática y de
diseño del módulo de prueba de concepto está abiertamente
disponible [22].
SPMI no es una interfaz comúnmente disponible en
microcontroladores de gama baja; por lo tanto, optamos por
usar un FPGA simple para ayudar con el conteo y el registro de
paquetes. Elegimos utilizar el FPGA ICE40 de Lattice en parte
porque es uno de los pocos FPGA que tiene una cadena de
herramientas de código abierto 100%: Yosys para síntesis,
Arachne para lugar y ruta, y IceStorm para manipulación de
bitstream y extracción de temporización [23]. Se implementó un
simple convertidor de paquetes SPMI a SPI con FIFO en Verilog
[24].
Las funciones de la interfaz de usuario están controladas por un
microcontrolador Kinetis serie K22F (MK22FN128VLH10). La
parte elegida contiene una CPU Cortex-M4 de 100MHz, 128K de
FLASH, 24k de RAM, suficientes recursos SPI, I2C y UART para
presentar simultáneamente una interfaz de usuario y realizar un
monitoreo básico de los grifos de introspección UART y GPS. El
K22F ejecuta ChibiOS, un sistema operativo de código abierto en
tiempo real que es extremadamente compacto y fácil de analizar,
a pesar de ofrecer características tales como HAL, subprocesos
múltiples y primitivas de sincronización [25].
Además de las funciones de análisis, el módulo de análisis de
señal incluye dos ranuras para tarjetas SIM, que están
conectadas a la ranura nativa única en el iPhone6 a través de un
multiplexor analógico; La señal de detección de la tarjeta SIM se
controla a través del K22F para simular un evento de
desconexión / conexión de la tarjeta cuando se intercambia
entre tarjetas SIM.
Finalmente, el módulo de análisis contiene una batería integral
de iones de litio y el correspondiente circuito de medidor de
gas / cargador, junto con un "interruptor de hombre muerto". El
propósito del interruptor del hombre muerto es forzar al
iPhone6 a un estado seguro cuando la batería se agota en el
motor de introspección. Logramos esto mediante el uso de un
modo de agotamiento FET a través de la línea de reinicio al
iPhone6. Un FET de modo de agotamiento normalmente se
realiza en su estado imparcial, por lo que si se extrae la batería o
se agota, el circuito de polarización falla y el iPhone6 se ve
obligado a reiniciarse. Aunque conceptualmente simple, un
circuito de este tipo es difícil de ejecutar porque, por definición,
necesita operar en una amplia gama de condiciones marginales.
El circuito de prueba de concepto aquí funciona para casos
simples pero aún necesita mejoras. Por ejemplo, el reinicio del
iPhone debía dispararse cuando el monitor de bajo voltaje
integrado en el K22F activa el reinicio del sistema. Aunque la
documentación del K22F afirma que esta característica existe,
las pruebas de laboratorio muestran que no es confiable. Por lo
tanto, se debe agregar un circuito de monitor de bajo voltaje
separado y discreto para garantizar un reinicio confiable del
iPhone. Tenga en cuenta que el modo de agotamiento FET aún
es necesario a pesar del monitor de bajo voltaje, porque el
circuito del monitor de bajo voltaje todavía requiere un voltaje
distinto de cero para funcionar correctamente.

Resultados iniciales
Para finalizar la prueba de concepto, fabricamos tanto el panel
táctil como el módulo de análisis de señal, y los instalamos en
los dispositivos de destino. El panel táctil se instaló en dos
teléfonos, una vez por el autor, y una vez por un técnico
experimentado que no tenía una información previa específica
sobre cómo instalar el panel táctil, para validar que el panel
táctil realmente simplifica el proceso de aprovechamiento. El
técnico pudo instalar la placa con éxito en aproximadamente
una hora de esfuerzo en el primer intento.
El módulo de análisis de señal se fabricó e instaló en una caja de
batería estándar para el iPhone6 [26] que fue destripada y
ligeramente modificada para adaptarse a la electrónica del
módulo de análisis de señal. El conjunto resultante se puede ver
en la Figura 18 y en la Figura 19.

Figura 18. Implementación y montaje del módulo de análisis de

señal en una caja de batería modificada.
Figura 19. iPhone 6 apareado con el prototipo del motor de
introspección.

Se diseñó una interfaz de usuario simple para rastrear y

administrar el flujo de datos que ingresan al motor de
introspección. En esta prueba de concepto, a los usuarios se les
presenta un gráfico a lo largo del tiempo de actividad en los
cuatro buses de radio monitoreados (Figura 20). Los usuarios
pueden configurar opcionalmente alarmas audibles y
notificaciones basadas en transiciones observadas dentro y fuera
del modo avión, así como seleccionar la tarjeta SIM activa.
Figura 20. Ejemplo de la IU en el motor de introspección, que
muestra un gráfico de frecuencias de eventos históricos en
varias radios.

Los resultados preliminares con el motor de introspección son

alentadores. Supervisa y determina con éxito cuándo las radios
están activas. Sin embargo, hay algunos factores de confusión.
Por ejemplo, cuando el dispositivo se pone en modo avión,
ocasionalmente vemos pequeñas cantidades de tráfico en WiFi y
GPS, tal vez una vez cada cinco minutos más o menos, se
produce algún tipo de comunicación con el módulo WiFi.
Además, cada vez que un usuario cambia por primera vez un
teléfono del modo de espera al modo de pantalla encendida, por
ejemplo, al presionar el botón de inicio, a menudo hay una breve
explosión de actividad, acompañada de una falla en la señal del
GPS que interpretamos que es causado por la unidad GPS en
transición de estados de potencia. Estos factores de confusión
son una violación del principio # 4, es decir, evitar falsos
positivos que pueden condicionar a un usuario a ignorar o
apagar las alarmas.
Puede haber explicaciones completamente benignas para esto:
tal vez se están llevando a cabo algunas funciones de
mantenimiento de rutina, o tal vez el teléfono ocasionalmente se
está despertando y escaneando WiFi, incluso en modo avión,
para acelerar el descubrimiento de AP y la nueva asociación
cuando se toma en un modo conectado. Sin embargo, la
implementación actual de conteo de eventos no proporciona
suficientes datos para analizar el tráfico WiFi UART.
Por lo tanto, una posible dirección futura sería modificar el
firmware para proporcionar registros detallados del tráfico WiFi
UART para que uno pueda intentar un análisis más profundo del
tráfico y así diferenciar entre el tráfico de rutina y el tráfico más
nefasto.
Otra posible dirección podría ser incluir un umbral de
discriminación, por lo que los patrones de tráfico "normales"
extremadamente esporádicos que se ven en el modo avión no
activan la alarma, pero se informan con un nivel de confianza
que indica cuán riesgosos pueden ser estos eventos. Si bien esto
resuelve el conflicto con el principio # 4, abre la posibilidad de
que un atacante pueda enmascarar patrones de tráfico nefastos
para parecerse al tráfico de limpieza en modo avión. Sin
embargo, la tasa de actualización se limitaría a solo un par de
eventos cada pocos minutos, lo que limitaría severamente la tasa
de fuga de datos. Es posible que el teléfono pueda escanear y
acumular datos suficientes para determinar una posición precisa
durante la noche, pero probablemente se detectará cualquier
intento de transmitir estos datos a un adversario remoto.

Del motor de introspección al teléfono

silencioso
Hemos realizado un prototipo y verificado la capacidad del
motor de introspección para aprovechar y monitorear señales de
radio críticas dentro de un iPhone6. Usando el motor de
introspección, pudimos derivar información a nivel de hardware
que anteriormente no estaba disponible sobre el estado de la
radio de un dispositivo. La técnica generalizada de identificación
de buses de radio control y observación en tiempo real es una
potente herramienta analítica para aquellos preocupados por
detectar malware de vigilancia.
Sin embargo, el descubrimiento de que pueden ocurrir eventos
en algunos de los autobuses de radio durante el modo avión nos
llevó a considerar qué ocurre si iOS está activando wifi durante
el modo avión y realiza escaneos de puntos de acceso para, por
ejemplo, ayudar a construir una base de datos de MAC
direcciones versus ubicación para mejorar el servicio de mapeo
de Apple? Ciertamente estaría en su derecho hacerlo si los
usuarios aceptaran los términos de uso de Apples. En este caso,
no podríamos confiar en el motor de introspección para proteger
a los periodistas si el código de proveedor del sistema legítimo
activaba las radios para realizar escaneos de ubicación.
En este escenario, la misión de proteger a los periodistas estaría
mejor atendida por un "teléfono silencioso", un teléfono o
dispositivo de estilo iPod que tiene su radio wifi, GPS, bluetooth
y radio de banda base desactivada de forma permanente o
selectiva a través de una derrota de hardware. Dicho teléfono
quedaría sin aire de manera convincente, habiendo tomado el
equivalente de hardware de un voto de silencio confiable, y al
acceder a una ubicación segura, el reportero puede enchufar un
adaptador Ethernet con cable a través del conector de carga /
datos incorporado en el teléfono. Tal teléfono silencioso les daría
a los periodistas la herramienta necesaria que necesitan en el
campo para realizar el trabajo periodístico, al tiempo que
garantiza su seguridad al permitir que solo se produzcan
comunicaciones después de dar el paso consciente de conectar
físicamente hardware adicional de un solo propósito.
Afortunadamente, en el curso del desarrollo y prueba del motor
de introspección, descubrimos por casualidad que iOS arranca
con gracia incluso cuando la banda base y los subsistemas wifi /
bluetooth / GPS se desactivan mediante restablecimientos de
hardware. Esta propiedad significa que uno puede convertir un
iPhone normal en un "teléfono silencioso" al alcanzar solo dos
puntos de prueba, en lugar de los casi doce puntos de prueba
requeridos para la introspección directa. Además, creemos que
la configuración de Silent Phone sería extremadamente robusta
contra cualquier intento de acceso a las radios, ya que los chips
respectivos se mantendrían en el reinicio del hardware y no
podrían iniciarse o iniciarse.
Si el motor de introspección fuera el equivalente de conectar a
un paciente a un dispositivo médico que hace sonar una alarma
al estallar una infección en el sitio de una herida abierta, el
teléfono silencioso sería el equivalente a amputar la extremidad
en la que se encontraba esa herida: ciertamente efectivo, pero
también drástico. Sin embargo, gracias a la capacidad de
enchufar un adaptador Ethernet, podemos proporcionar al
usuario una prótesis útil para la conectividad cuando sea
necesario. Al igual que cualquier sistema médico requiere
pruebas clínicas exhaustivas antes de la administración en una
situación crítica para la vida, el motor de introspección requiere
una validación significativamente mayor antes de utilizarlo en
una situación real de vida o muerte. Sin embargo, un enfoque de
teléfono silencioso, como una amputación,
Observamos que puede ser posible enrutar las señales de
reinicio de WiFi y banda base a un interruptor de palanca físico,
que cuando se voltea podría habilitar o deshabilitar
selectivamente las radios después de un reinicio. Esto podría ser
deseable para los usuarios que se encuentran en situaciones
menos amenazantes donde un giro accidental del interruptor no
permite apuntar a proyectiles de artillería. Sin embargo, para el
caso de uso de los periodistas, sentimos que un teléfono
silencioso confiable tendría un mayor valor de misión que un
teléfono que accidentalmente podría marcar a los adversarios.
Significativamente, habíamos intentado replicar nuestros
hallazgos en un dispositivo Nexus 5X. Mientras que el Nexus 5X
arrancó con éxito con el subsistema wifi apagado, no pudo
arrancar con el módem de banda base apagado. Este tipo de
comportamiento es menos sorprendente, dada la cantidad de
funciones críticas del sistema típicamente delegadas a los
subsistemas de banda base, y sugiere que crear un teléfono
silencioso a partir de un dispositivo Nexus podría ser mucho
más difícil. Sospechamos que iOS puede ser un valor atípico
para poder arrancar usando firmware estándar a pesar de la falla
de hardware de varios módems, pero se requerirá una
investigación adicional para confirmar este hallazgo.
Presumimos que un teléfono silencioso que se comunica a través
de un adaptador Ethernet a una computadora de una sola placa,
como un Raspberry Pi, configurado para funcionar como un
enrutador y un firewall estricto que solo permite
comunicaciones a través de un puente Tor [27] sobre protocolos
de comunicaciones ofuscados [28] Proporcione al usuario un
acceso confiable al ecosistema de aplicaciones modernas en un
teléfono inteligente sin que el hardware se dé cuenta de su
ubicación. Se requiere investigación adicional para confirmar la
hipótesis, pero creemos que mientras la propia periodista no
proporcione intencionalmente al teléfono información sobre su
ubicación (como en archivos o chats almacenados en el teléfono
con respecto a sus planes e intenciones futuros), en esta
configuración de geodatos simplemente no está disponible para
ser robada. Esta propiedad también crea oportunidades
interesantes para la negación y el engaño contra aquellos que
buscan acceder de manera inapropiada al teléfono del
periodista. Por ejemplo, los archivos que contienen datos de
ubicación engañosos pero convincentes podrían almacenarse en
el teléfono como una especie de honeypot, para ser descubiertos
por un abuso del llamado "pirateo legal" por parte de las
autoridades. Dicha información plausible pero falsa provocaría
acciones tales como redadas en una dirección falsa, lo que
alertaría al periodista de que su dispositivo ha sido
comprometido y está siendo objeto de represalias.
Dada la relativa simplicidad, robustez y elegancia de la solución
Silent Phone, tenemos la intención de centrar nuestros esfuerzos
desde la validación del motor de introspección hasta la creación
de un conjunto de teléfonos silenciosos y accesorios de
conectividad con cable asociados para uso de campo por parte
de periodistas.

Citas
[1] Comité para la Protección de los Periodistas (19 de junio de
2017). Periodistas asesinados desde 1992 / Motivo confirmado.
Recuperado de https://cpj.org/killed/
[2] Al Jazeera. Investigación de "The Spy Merchants".
Recuperado de http://www.aljazeera.com/investigations/spy-
merchants.html
[3] Schneier, B. (2016) Datos y Goliat: Las batallas ocultas para
recopilar sus datos y controlar su mundo. WW Norton &
Company.
[4] Lipp, K. (25 de octubre de 2016) AT&T está espiando a los
estadounidenses para obtener ganancias. Recuperado de
https://www.thedailybeast.com/atandt-is-spying-on-americans-
for-profit
[5] Stanley, J (mayo de 2010). La crisis en la cuarta enmienda
Jurisprudencia. Sociedad de la constitución americana.
Recuperado de https://www.acslaw.org/files/ACS Issue Brief -
Stanley 4th Enmienda.pdf
[6] Meade, A. (14 de abril de 2016) La policía federal admite la
búsqueda de acceso a los metadatos del reportero sin orden
judicial. Recuperado de
https://www.theguardian.com/world/2016/apr/14/federal-
police-admit-seeking-access-to-reporters-metadata-without-
warrant
[7] Woods, A. (31 de octubre de 2016) La policía de Montreal
espió al periodista de La Presse Patrick Legacé. Recuperado de
https://www.thestar.com/news/canada/2016/10/31/montreal-
police-spied-on-la-presse-journalist.html
[8] Knaus, C. (28 de abril de 2017) La policía federal admite el
acceso a los metadatos del periodista sin una orden judicial.
(Actualización del caso) Recuperado de
https://www.theguardian.com/australia-
news/2017/apr/28/federal-police-admit-accessing-journalists-
metadata-without-a-warrant
[9] Extracto del Archivo Snowden. Recuperado de
https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/i
ndex/assoc/HASHc240.dir/doc.pdf
[10] Sacerdote, D. (9 de julio de 2016). La reportera de guerra
Marie Colvin fue rastreada, atacada y asesinada por las fuerzas
de Assad, dice Family. Recuperado de
https://www.washingtonpost.com/world/national-
security/war-reporter-marie-colvin-was-tracked-targeted-and-
killed-by-assads-forces-family-says/2016/07/ 09 / 62968844-
453a-11e6-88d0-6adee48be8bc_story.html
[11] Marczak, B. y Scott-Railton, J. (24 de agosto de 2016) The
Million Dollar Dissident: iPhone Zero-Days del Grupo NSO
utilizado contra un Defensor de los Derechos Humanos de los
EAU. Sección 7, Rafael Cabrera. Recuperado de
https://citizenlab.org/2016/08/million-dollar-dissident-
iphone-zero-day-nso-group-uae/
[12] James, M. et al (enero de 2008) "Tolerancia a fallos basada
en la introspección para la computación de alta capacidad
basada en COTS en el espacio". Actas de 2008 de la IWIA. pp
74-83.
[13] Landwehr, A. y col. (2013) "Hacia un sistema
autoconsciente para arquitecturas exascale". Conferencia
Europea sobre Procesamiento Paralelo. Springer Berlin
Heidelberg.
[14] Alianza MIPI. (Agosto de 2012, v2.0) Administración de
energía del sistema MIPI. Recuperado de
https://mipi.org/specifications/system-power-management-
interface
[15] Huang, A. y Cross, S. (13 de junio de 2015) Página principal
de Fernvale. Recuperado de
https://www.kosagi.com/w/index.php?
title=Fernvale_Main_Page
[16] Michaud, E. y Lackey, R. (diciembre de 2013) frustrando los
ataques malvados. Obtenido de https://media.ccc.de/v/30C3_-
5600 - en - saal_1 - 201312301245 -
thwarting_evil_maid_attacks - eric_michaud -_ryan_lackey
[17] Ross, A. Ingeniería de seguridad: una guía para construir
sistemas de distribución confiables. "Resistencia a la
manipulación física". Capítulo 14. Recuperado de
https://www.cl.cam.ac.uk/~rja14/Papers/SE-14.pdf
[18] https://leaksource.wordpress.com/2013/12/30/nsas-ant-
division-catalog-of-exploits-for-nearly-every-major-software-
hardware-firmware/
[19] n8fr8. (Mayo de 2017, v0.0.8) Phoneypot: como un
Honeypot, pero para tu teléfono. Recuperado de
https://github.com/guardianproject/phoneypot
[20] Huang, A. (junio de 2017). Archivos fuente de Altium
Designer 17 recuperados de
http://bunniefoo.com/bunnie/iengine-tap.zip
[21] Sitio web corporativo de King Credie. Recuperado de
http://www.kingcredie.com/ . Nota: al momento de la
publicación, este sitio web corporativo está en mantenimiento.
[22] Huang, A. (junio de 2017). Archivos fuente de Altium
Designer 17 recuperados de
http://bunniefoo.com/bunnie/iengine-sam.zip
[23] Wolf, C. y Lasser, M. (2015). Proyecto IceStorm.
Recuperado de http://www.clifford.at/icestorm/
[24] Bunnie. (Marzo de 2017). Programa de prueba XZ FPGA 1.
Recuperado de https://github.com/bunnie/xz-fpga-test1
[25] bunnie, bifurcado de ChibiOS / gdisirio (mayo de 2017).
XZ. Recuperado de https://github.com/bunnie/chibios-xz
[26] Amazon.com . (Mayo de 2017). Estuche de batería Estuche
ultra delgado de cargador portátil de 3500mAh Estuche de carga
de teléfono inteligente de respaldo extendido para iPhone 6 6s
(Blanco). Recuperado de https://www.amazon.com/Andsun-
Mobile-3500mah-Battery-iPhone/dp/B01DGMAGIY , con un
agradecimiento especial a David Cranor y Aqua Jiang por su
ayuda para identificar y encontrar este caso originalmente antes
de que estuviera disponible en Amazon .
[27] Proyecto Tor. (Junio de 2017) Tor: Puentes. Recuperado de
https://www.torproject.org/docs/bridges .
[28] Tor Project. (June 2017) Tor: Pluggable Transports.
Retrieved from https://www.torproject.org/docs/pluggable-
transports.html.en.
LICENSE

Creative Commons Attribution 4.0 International License (CC-BY 4.0)

COMMENTS

23
?

Login to discuss

Devin Berg:Dr. Huang and Mr. Snowden, After a review of your revised document submitted in
response to the reviewers comments, we have decided to accept your article for publication in
the Journal of Open Engineering. Thank you for your contribution to open engineering! Devin
Berg Editor, TJOE

Matthew Jones:I was invited to review this important, timely, and sound article from a non-
technical standpoint by TJOE. My comments focus on making more explicit the urgent current
need for such a case and other technical solutions for end users, and not just in conflict areas
or in illiberal states. TECHNICAL SOUNDNESS 1) The authors might want to underscore more
explicitly at the beginning something they know very well: that targeting journalists with their
phones is no mere theoretical possibility, but a rapidly expanding practice aided and abetted by
offensive security corporations, such as Hacking Team, for governments in many shades of
authoritarianism (here worth citing some of the fantastic work of Citizen Lab, such as
https://citizenlab.org/2015/03/hacking-team-reloaded-us-based-ethiopian-journalists-targeted-
spyware/ and the rest of their important reports; ( readers of TJOE would appreciate in
particular the more technical forensic reports there). And as I needn’t tell the authors, it’s worth
perhaps stressing explicitly this isn't simply a problem with so-called authoritarian countries: the
targeting of journalists within liberal democracies appears, likewise, a growing concern, as the
roiling controversy about Canada’s CSIS (from yesterday:
https://www.thestar.com/news/canada/2016/12/14/csis-breaches-promise-to-report-on-past-
media-surveillance.html). I know E.S. has spoken often about this, but worth including explicitly.
2) US probably led the way with the declaration that dialing information has no reasonable
expectation of privacy in Smith v. Maryland, and the subsequent application of this precedent to
metadata writ large (for the longer story of phone interception, might cite Landau and Diffie’s
great book). But if US protections around metadata rather weak, they are considerably weaker in
Five Eyes partners, notably the UK RIPA’s shockingly cavalier treatment of “communications
data” and the Australian “telecommunications data,” all available with little legal friction to a
broad range of domestic agencies, not just spooks and cops, e.g. at
http://www.zdnet.com/article/61-agencies-after-warrantless-access-to-australian-
telecommunications-metadata/ and in the text of RIPA itself. In other words, all sorts of
quotidian domestic journalism and activism potentially affected now, in liberal democracies and
illiberal polities alike: not just national security, but everyday domestic stories may be
implicated. 3) Most importantly: I’d encourage the authors to outline briefly but a bit more
thoroughly the diverse sorts of dangers posed by telephony metadata, better to explain the risk
model focused on here: 1/ bulk collection generally, 2/ pattern of life analysis, and 3/ tracking of
individual phones. This project, of course, cannot solve the larger problem of metadata
associated with a particular sim or phone being accumulated and analyzed over time. But it
would be extremely useful for 2/ and 3/. (A good citation for 2/ might be
https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/index/assoc/HASH01fd/9744a
8b9.dir/doc.pdf ) CLARITY The article is quite clear. COMPLETENESS -The text does not cover
anything about the updating process for the case and the attack surface this may provide; given
that government seizure of phones at border crossings of US and others seems on the uptick,
any sense of how to guarantee the integrity of the case’s software and hardware if seized even
for a few minutes? -While the ability to switch sims would very convenient, perhaps the display
should remind the user than changing sims doesn’t alter the IMEI—a point most security aware
users should know, but may forget. Perhaps an explicit reminder of this on the screen. -Like the
other reviewer, I’d urge the authors to address “why not a simple faraday” cage more
forthrightly. - Some of the points here and above would benefit from some illustration. If need
the perfect graphic for the article, two NSA slides perfect: “who knew in 1984…that the would be
big brother” [picture of Jobs holding iPhone]
(https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/index/assoc/HASHc240.dir/do
c.pdf ) OPENNESS AND REPRODUCIBILITY Little is said here about the software for the case’s
independent cpu. Is there any envisioned auditing process to guarantee integrity of that
software?

Jeffrey Rhoades:Could IMEI spoofing be added to this device?

Nathan Seidle:I was invited to review the article by TJOE:> TECHNICAL SOUNDNESSHaving low-
level access to the radio control signals is a feasible method for user verification that the
hardware is doing what the user expects. Bunnie and Edward's approach is very plausible.The
manuscript is free of technical errors as far as I can tell. I cannot verify the assumptions about
bus functions or test points but test points are common and I have faith that with appropriate
documents (and I am confident I could get the tech docs in the Shenzhen repair market) I could
find the test points they describe.Problem: The introspection method will only be feasible for a
few years, maybe months. This method is only viable where the various radios are external to
the main IC and there is a bus between GPS, BT, NFC, Cellular modems. As silicon
manufacturers push costs down and integration up we will see less buses exposed, making this
approach less effective. It's not many years (or months really) before a single IC does
everything and no bus is exposed for 'introspection'.> CLARITYIt's very good.>
COMPLETENESSIt's good. There will be many readers commenting about EMF sleeves or
wrapping the phone in aluminum or tin foil. This creates a Faraday cage and completely isolates
the phone from all RF reception. I think Bunnie/Ed could add to the article to address this
argument before it is made. The case needs to be addressed: in what situation does a reporter
need to use their phone but not any of the RF features (cellular, GPS, BT, NFC, etc)? All I can
think of is maybe recording audio, like an interview. If I was a high-value target I would not have
a phone on me and would rely on other technologies that don't have radios (ie, tape recorder,
pen/paper, etc). The article could benefit from addressing this (maybe I missed it).> OPENNESS
AND REPRODUCIBILITYI would ask Bunnie/Ed for higher res photos of their prototype to show
the test point (TP) locations. This would help with credibility and confirmation. It would also
open up the design (more open source/transparent).Their approach to gaining access to the
TPs: Removing solder mask through abrasion is hard. Removing a SIM card holder is another
level of difficulty. I could do it. 100s, maybe 1000s, of people could as well. I think TP access is
feasible if someone was *really* motivated, and I think this is inline with the opening remarks
about high-value targets.

Josh B:Until this become feasible for everyday use, there's a company called Silent Pocket
making Faraday cage cell phone sleeves. I have one, and use it every day, except for at work and
home. It blocks cellular, GPS, wifi, gps, and bluetooth. I've tested it many times using 3 different
cellular carriers and 8 different wifi spots with no issue to date. https://silent-pocket.com in
case you're interested.

M PR:The idea is genial - relatively simple and very efficient. And it can serve as a basis to
implement additional features. In my thesis "Detection and countermeasures of attacks on
smartphones" I described a possible solution with a so called Turbo SIM. Analyzing the
communication of the SIM card can also be done with a WiFi- or NFC (Waver) Turbo SIM. That
means you don’t have to connected the „battery case“ with the SIM Card slot. If people think this
device looks to too obvious, it would be possible to place it inside a 2,5 HDD case for example. I
am looking forward to this project - big respect!

M PR:"genial" means great!

David Haahr:There will always be the "DE-BUNKERS" and "ILL-WISHERS" of the world because
they did not come up with the idea first. I think That Huang and Snowden are onto something
and it MUST BE PUT FORWARD, Not maybe or yea sounds good. Things like this are needed to
protect you from "ALL PRYING EYES" and there are TO MANY OF THOSE EYES OUT THERE!
Snowden popped the lid OFF the can...it is high time the PEOPLE OF THE WORLD take the world
back and get rid of all the corrupt and inept politicians and GANG-LAND gunslinging police to
say nothing of the people and gangs out to destroy us all. I say go for it, get it up and move
forward with "OUR PROTECTIVE RIGHTS" as humans!

John Schmidt:I get it. Having a recognizeable case (that says hey, I care about my
security/anonymity) might not be very covert. I stand by the effort being put forth here. This is
low level reverse engineering, expansion, etc.. all through SIM card, etc... to anyone already
putting forward suggestions to the design, you should kinda STFU. Horse before the cart. First
lets make this awesome idea come to life, see how it's limited by materialism and then hone it
from there.

OK Dokie:So it identifies when a broadcast is occurring, but doesn't actually stop it. At that point
isn't it already too late for a high-risk endeavor?

Jeff Flowers:Kickstarter, Indiegogo, Bitcoin, Litecoin, etc... How can we help make this a reality?

Minnie Mouse:I have long held freedom of speech dear, however, I have to say that Mr Snowden
has a childlike view of the modern world. I would like this device banned because it will work
against our security services' constant struggle to keep us safe from terrorists and terrorist
inspired maniacs. Our security services in the UK have been doing such a fantastic job,
goodness knows they need our help to fight their quiet war against those who want to murder
us and our children. A little self sacrifice to this end would not go amiss.

Mak Di:Naive Minnie

+ 2 more...

Ariel undefined:It will be hardened phone at the end of the day competing with other hardened
phones that try hard to provide solutions to all types of eavesdropping as well. as it requires
physical hacking connections inside the phone, porting this to any phone vendor is not realistic.
also, what about other threats like SS7 snd MITM attacks based...

Zach H:While a fantastically conceived idea, I doubt the engineers are naive enough to not have
considered the potential for such a cloaking device to fall into the hands of those with
intentions more nefarious than altruistic journalists and activists. While an intention of such
high-value targets is certainly to prevent becoming the recipient of unwanted and unwarranted
attacks, could the same device not also be used by those looking to play the role of the
aggressor? If individuals on no fly lists are still able to gain access to weapons, wouldn't those
same or even more individuals find it beneficial to improve their ability to stay "off the grid" with
this device? Perhaps even while visiting areas known to provide ways and means to train and
assist atrocities on a global scale. Additionally, if companies such as Apple are already being
taken to federal court over a reluctance to discern something as simple as a password what
would prevent the insistence that hardware be laid out in a way so as to prevent the tap points
necessary for this introspection device? Wouldn't such a cat and mouse game stymie the
 creativity we demand from our technology companies? Having said that, I find this a brave and
encouraging push toward the inherent quest for privacy - a right we all deserve.

N D:This device just tells you when the radios on your device are in use. That is all it does. It
does not "cloak" anything. If you want to communicate with anyone, the radios must be on.
What this device does do is it tells you if your phone is communicating with others at times that
you don't explicitly want it to, which gives you an indication of if your phone is not acting entirely
under your command.

+ 1 more...

One Interested Individual:While the idea of a phone case-like design for a final product is a
good idea, the presence of a screen might cause it to be visible to hostile regimes. With the
display located on the back of a phone, wouldn't holding a phone up vertically (in the normal,
touchscreen-facing-the-user position) mean the backside of the phone is visible to all? Anyone
(such as, say, an officer) may be able to spot and identify such devices during a stop and
confiscate the modified device, for example. For the final product, will there any mechanisms in
place to hide the screen, make the modifications look like a normal phone case, or otherwise
address this sort of visibility problem? Alternatively, this may not be in scope; one could argue
that if an officer is close enough to see a modified device, the journalistic effort has already
been detected. Either way, I'd love to hear thoughts.

N Mindz:Maybe the display could be masked in a flip-cover sort of case. Or, maybe, the case
could cover all of the phone's back and the top part of it be a foldable display.

keith comess:How will the public be notified that the case/blocker is commercially available?

David Lieder:To hide the back, the case should wrap around the entire phone, with the entry hole
(to insert the phone in the case) at the top or bottom. This would imply an elastic body with the
counter-measures mixed into the elastic substance (such as a blocking metal that can be added
to the liquid rubber when cooling) or the counter-measures grafted into the elastic substance. It
should be generic looking with no identifying brand or mark.





 About
 Explore
 Pricing
 Help

Boletín informativo y comunitario

Acepto recibir este boletín.

El diario de ingeniería abierta

 RSS
 Condiciones