GrapheneOSとフォレンジックデータ抽出（2024）

Hacker Newsの意見

• 「悪い政府」と「良い政府」というものは存在しないと思う。結局すべては人々の見方次第であり、だから私たちは、政府がテロリストや児童性犯罪者から私たちを守ってくれるという理由だけで、データのすべてを政府に無条件で委ねるべきではない。実際、政府はいずれ必ず無実の市民を悪用するようになる。こうしたことは今まさに起きているし、さらに多くの統制が求められているのかもしれない
  • 政府が国民の必要なもの（望んでいるものではなく）をきちんと満たせないなら、それこそが悪い政府だと思う。街にギャングや泥棒、麻薬、病気などがはびこっているなら、それを国民の見方の問題と片づけるべきではなく、政府が解決すべき悪い事態だ。そうした役割がないなら、政府が存在する理由はないと思う
  • だから政府であれ誰であれ、データ管理を無条件に任せるのは危険だと思う。少なくとも政府は公益という価値を掲げるが、企業は株主の利益だけが動機だからだ
  • 理論的には興味深い主張だが、私の出身国では、現実には政府が人々の携帯電話を調べて、政府に反する行動やソーシャルメディア活動などを証拠として非常に長い刑を言い渡している。最近の事例としてはこのリンクを参照できる。GrapheneOSがどれだけ安全でも、この種の脅威を本当に避けるには完全にクリーンな携帯電話が絶対に必要だ
  • 誰かが意図的に論点をぼかしていると思う。このテーマはもはや議論の余地すらない。市民を拉致し、拷問し、殺害し、「失踪」させる政府は明らかに悪い政府だ。歴史的にも現実にも、中国、ロシア、メキシコ、北朝鮮、ベラルーシ、バルカン、多くのアフリカ諸国がその例だ。近所の34%が私を強制収容所に送りたがっているからといって、それが正当化されるわけではない。個人的にもそんな場所には絶対に行きたくないし、また「見方による」というような例こそ悪い政府の典型だ。良い政府になるのは実は難しくなく、ただ悪く振る舞わなければいい
  • この種の考え方は非常に問題があると思う。つまり、政府が個人の意見と違えばすぐに悪い政府だと決めつけてしまうことだ。文明社会で多様な視点を持つ多くの構成員と共に生きるには、ときに妥協も必要だという点を忘れているように見える
• GrapheneOSは本当に気に入っているが、ユーザーが認証済みの状態でアプリのプライベートデータを抽出したり、rootシェルを得たりできるバージョンがあれば完璧だと思う。開発者たちはroot権限がセキュリティモデルに大きな穴を開けると言っているが、もし安全にrootを使う方法さえあれば、自分が望むアプリそのものを直接改変して使えるので、本当に理想的なOSになると思う。もちろんダウンロードして自分で署名することはできるが、そこまではやりたくない
  • GrapheneOSでもroot設定は可能だ。ただしこの場合データは初期化されるので、必ずバックアップが必要だ。本当にrootが必要なら、データのバックアップ→root権限の有効化→復元、という形で運用できる
  • 私もこの機能が欲しい。adb rootのためにuserdebugビルドを自作して使っているが、公式にサポートされればずっと良いと思う
  • 両方を手に入れることはできないという意味だ。rootアクセスは非常に大きなセキュリティホールなので、公式版でサポートされることは絶対にない。自分でカスタムキーとイメージを作る方法以外にはない
  • 携帯電話でrootを有効にするときの脅威モデルが何で、なぜそれを完全には防げないのか気になる。大半のサーバーやデスクトップはrootが有効でも大きな問題なく使われている
• [2024]だ。この記事は草稿のようで、著者のブログでも見られる: https://telefoncek.si/2024/05/2024-05-30-grapheneos-and-forensic-extraction-of-data/
• これを読むと、Pixelを買ってGrapheneOSを入れてみたくなる。大企業にある程度のプライバシー保護の意思があるとしても、結局は法的な標的になりやすい。もし明日、米国やEUがすべてのモバイル機器にバックドアを義務づける法律を通せば、世界中が影響を受けることになる
  • かなり安く試せる。私はeBayで整備済みのPixel 7 Proを250ドルで買ってGrapheneOSを入れた。20ドルのeSIMプランで、外出時に使う専用端末だ。旅行中に紛失や盗難に遭っても気にしなくていい。eSIMだけ解約して別のPixelを買い、またGrapheneOSを入れればいい。家にはメイン端末のPixel 10 Proがそのまま安全にある
  • 参考までに、英国政府は2016年のInvestigatory Powers Actを根拠にAppleへバックドア作成を求めようとしたが、Appleは拒否した
  • 私の最後のPixel（4a）は1年半ほどでかなり状態が悪くなった。もっと頑丈なAndroid端末があるのか気になる。Apple SEは何年も問題なく使えたのでAppleに戻った。GrapheneOSはぜひ使ってみたい
  • 私もGrapheneOSのためにPixelを買いたいが、Googleはトリリオンダラー企業であるにもかかわらず、世界展開にはいつも消極的だ
• これは、インターネット上の推測を別のインターネット上の推測で反論しているように感じる。Cellebriteは最新機種の対応状況を公開しないので、最近のiPhoneやiOS、Pixel 9/10、最新のAndroid OSについてどこまで進展しているのか一般人には分からない。ただ、両社が公式に示しているのは、AppleがAdvanced Data Protectionを使う場合、Googleよりはるかに多くのエンドツーエンド暗号化を提供していることと、どちらもハードウェアとプラットフォームのセキュリティに投資していることだ（例: AppleのSEARなど）。GrapheneOSの存在自体は前向きに捉えているが、この投稿そのものは実質的な助けにはあまりなっていない気がする
  • 今年初めに流出した文書にはPixel 9も含まれている。少なくとも流出時点の資料によれば、GrapheneOSは2022年以降のパッチが適用されている場合、Cellebriteでは非対応と記されており、Stock Googleファームウェアよりも安全だ。GrapheneOSがこうした論争を避ける理由の一つは、使い勝手のためにGoogleが及び腰なUSBポート無効化を思い切って採用している点だ。Google、Samsung、Apple（none-lockdown mode）と違い、GrapheneOSはユーザーが車、ディスプレイ、USBメモリ、3.5mmジャック変換器などに携帯電話を接続しようとすると、常にロック解除を要求するため、不満を招きにくい。またセキュリティ強化のため、コンパイル時に性能低下を受け入れてさまざまなオプションを追加している。実際に、まれではあるが一部の攻撃成功時に防御の要として機能した事例も自ら説明している（GrapheneOSの事例）。Cellebriteの現状の最新事情は分からないとしても、3年以上まともに突破できていなかったことを考えると、GrapheneOSへの信頼は高まる。もちろんGRUやNSAは例外的な攻撃手法を持っているだろうが、現時点で市販ツールでGrapheneOSが破られた兆候はない
  • 誰かがGrapheneOS開発者にCellebriteの対応状況を継続的にリークしている。その内容によれば、2022年以前のパッチレベルのGrapheneOSまでしかハッキング可能ではなかったと公式文書に明記されている。2025年6月の最新文書まで確保しており、必要ならもっと入手できるが、今はもっと差し迫った仕事が多いので、すぐにそうするつもりはない。状況が動けば資料を渡してくれる中核の関係者がすぐに連絡してくるので安心している（リンク）
• iOSからGrapheneOSへの移行を検討しているなら、この移行ガイドとレビューが役立つかもしれない: https://blog.okturtles.org/2024/06/the-ultimate-ios-to-grapheneos-migration-guide-and-review/
  • Apple PhotosやGoogle Photosの代わりになるEnteのような信頼できるサービスもある。他にもさまざまな代替手段が存在する
  • やや本題から外れるが、GrapheneOSは現在何人のチームメンバーで維持されているのか気になる。もしDaniel Micayが突然いなくなったら、すぐに引き継いで開発を続けられる人材とインフラが整っているのか知りたい
• 「…なぜならGrapheneOSは、こうした攻撃に対してiOSよりもセキュリティを強化しているからだ。iPhoneにもsecure elementはあるが、攻撃者は長年これを回避してきた。SamsungやQualcommも同様だ」という主張について、実際にPixelの方がブルートフォース攻撃に強いのか、iPhoneなどはこうしたツールに簡単に破られるのかが気になる
  • この評価には同意しない。GrapheneOSへの敬意は大きいが、批判が入ると、ときどき誇大宣伝に近い表現が出てくる傾向もある。関連記事や情報は、Cellebriteのサポート一覧（ストレージを含む行政向けデバイス内のファイル）の流出版に基づいており、時点によって変わりうる。記事執筆時点では、CellebriteはiPhone 12以前（セキュアストレージコンポーネント導入前）まではブルートフォース可能で、iPhone 12はiOS 17以前のバージョンを突破するための研究段階だった。AndroidはPixel 6（Titan M2導入）以降、ブルートフォース不可だ。根本的にはiPhoneとPixelの信頼モデルはほぼ同じで、ユーザーのパスコードはセキュアなエントロピーと混合されて暗号鍵の生成に使われ、セキュリティプロセッサが試行回数を制限する。Appleの仕組みは公式文書で非常によく説明されており、GoogleのWeaverも似たように動作する。全体として、最新のiPhone（iOS）と最新のPixel+GrapheneOSの組み合わせは、どちらも業界最高水準の保護を提供していると思う。記事の言う通り、それ以外の大半の端末やファームウェアは、セキュリティソフトウェア（ROM、ブートローダーなど）の設計で大きく後れを取っている
  • 「簡単に」という部分を除けば、ほぼその通りだ
• 最初に思い浮かぶセキュリティ上の懸念はblobだ。これはAndroid端末で必須のクローズドなハードウェアドライバで、高権限で動作する。GrapheneOSがこれらのドライバを厳格にサンドボックス化していなければ、熟練した攻撃者がwifi、モデム、Bluetoothドライバのバックドアを通じてセキュリティを破ることができる。こうしたblobについては、GrapheneOS開発者が何をしても根本的に防ぎにくい。たとえばwifiドライバがPIN入力を盗み見ることすら想像できる
  • GrapheneOSはこうしたblobも非常に厳格にサンドボックス化して実行している。HNユーザーのstrcatがこの点について詳しく説明した投稿を多数書いている strcatの詳しい回答
• スマートフォンのUSBポートを使う限り、完全な安全は保証できない。政府が望むバックドアはまさにこの経路だ。プライバシーのため、そして自由のために投票することを勧める。政治的な主張は別としても、政府はこうした作業を秘密裏に予算を投じて進めている。AWSのようなプラットフォーム上で、多数の下請け業者がUFEDでダンプされた（つまり端末ディレクトリをzip圧縮した）データを分析している。メール、通話記録、通信事業者設定、閲覧履歴、SMS、Cookie、アプリ、アプリのログやデータなど、端末内のあらゆるものが含まれる
  • TFA（本文）を見ると、GrapheneOSはUSBポートも無効化できる
• 技術的に興味深いので、デジタルフォレンジックツールを各OSの最も安全な設定に適用して、実際にどう違うのか比較した記事を一度読んでみたい
  • 「最も安全な設定」なら、オフラインで、しかも電源が切れている状態ではないだろうか