Как защититься, если вас заставляют разблокировать смартфон⁠⁠

В комментариях к посту многие пикабушники интересовались, а что же делать, если сотрудник полиции требует от вас разблокировать смартфон.

Для начала, проговорим очевидные вещи:

• такое требование не является законным без соответствующего судебного решения;

• если у вас в телефоне есть хоть что-то, за что полицейские могут зацепиться, то они за это зацепятся (а сейчас поводов «зацепиться» стало ещё больше);

• даже если вы суперлояльный и послушный гражданин, вам вряд ли станет приятно от того, что кто-то будет копаться в вашей цифровой жизни, читать личную переписку, комментировать интимное фото, которое вам прислала жена в мессенджере...

• не следует использовать разблокировку с помощью биометрических данных (отпечаток пальца, лицо), потому что тогда разблокировать телефон можно и без вашего согласия

Вариант 1: отказаться

Тут обычно начинают постить картинки с паяльником и упоминать «терморектальный криптоанализ». Да, успех зависит от того, готовы ли против вас применять физическую силу, а также от того, насколько вы готовы/можете эту физическую силу терпеть (подзатыльники и молоток для мяса в жопе это, всё-таки, разные вещи). Впрочем, никто не мешает сначала попробовать именно этот способ в надежде на то, что вас просто берут на испуг (что зачастую так и есть), а если дело запахнет жареным (фьють, ха!), перейти к другим вариантам.

Говорить, что пароль вы забыли, наверное, несколько наивно. Во-первых, всё равно не поверят. Во-вторых, людей злит, когда их считают за дебилов. Лучше просто твёрдо и вежливо отказаться, ссылаясь на ст. 51 (право не свидетельствовать против себя) и ст. 23 (право на неприкосновенность частной жизни) Конституции.

Дальше всё будет касаться только операционной системы Android, поскольку автор не сталкивался с продукцией компании Apple и не имел возможности лично протестировать то, о чём пишет.

Вариант 2: подсунуть фальшивые данные

В телефонах китайских брендов есть возможность создать второй аккаунт и входить туда по отдельному паролю. Если вы вводите на экране блокировки пароль от второго аккаунта, то в него вы и попадаете. Функция называется «Второе пространство» (Xiaomi, Redmi, Poco) или «Private Space» (Huawei, Honor).

Соответственно вы создаёте второй аккаунт, накидываете туда какие-то фотографии, ставите парочку мессенджеров, тыкаетесь в браузер, чтобы появилась история, заводите контакты в адресную книгу. В общем, создаёте более-менее правдоподобную видимость используемого смартфона.

Находясь под принуждением, вы сообщаете пароль от этого фейкового аккаунта.

Вариант 3: сброс телефона до заводских настроек

Пожалуй, самый надёжный способ. Если данные стёрты, то и изучить их атакующий уже не сможет (восстановить данные после сброса на современных смартфонах не выйдет, т.к. по умолчанию все данные прозрачно для пользователя шифруются, а сброс до заводских настроек уничтожает ключ шифрования; если вы химичили с отключением шифрования на телефоне — то вы сам себе злобный буратино).

Я знаю лишь одно более-менее работающее приложение под Android, которое позволяет это провернуть — Duress. Интерфейс у него из разряда "дизайном занимался программист", но своё дело оно делает.

1. Предполагается, что вы читали вступление и установили на экран блокировки пароль или пин-код вместо биометрии.

2. Обратите внимание, показываются ли при разблокировке вводимые символы.

3. В Duress переходим на вкладку Test (не Wipe!) и выбираем тип А, если на предыдущем шаге символы показывались при вводе, либо тип Б, если не показывались. При любом изменении этого параметра (например, если стоял А и вы выбрали Б) нужно перезапустить службу доступности (проще всего это сделать, перезагрузив телефон).

4. Там же задаём фейковый пароль, при вводе которого произойдёт очистка данных. Пароль должен по длине (числу символов) совпадать с реальным паролем.

5. Нажимаем кнопку в самом низу. Соглашаемся дать приложению права администратора устройства и доступ к службе доступности (тут зависит от прошивки, например, на телефонах Xiaomi в открывшемся окне нужно зайти в подраздел Скачанные приложения → Duress и включить там все опции).

6. После того, как выдали все разрешения, возвращаемся в приложение и добиваемся того, чтобы на кнопке (которая в самом низу) появился значок |.

7. Блокируем экран и вводим фейковый пароль. Разумеется, получаем отлуп, вводим правильный пароль. Если всё настроено верно, то вы увидите уведомление от Duress с текстом "ОК". Это значит, что если бы приложение работало не в тестовом, а в боевом режиме, ваши данные уже были бы стёрты.

8. Теперь повторяем всё то же самое в Duress на вкладке Wipe. Но учтите, что тесты кончились, теперь это боевой режим — отныне, при вводе фейкового пароля, вы потеряете все данные.

У этого разработчика есть и другие приложения, например, Sentry — вайпает телефон при заданном количестве неудачных попыток разблокировки и Потрачено — вайпает при наступлении определённых событий (например, при подключении к компьютеру или по приходу SMS с заданным текстом).