Миллиарды рабочих телефонов отправляются на свалку из-за встроенных механизмов защиты данных владельцев

Старые смартфоны массово оказываются на свалках не потому, что их аккумуляторы умерли или процессоры устарели. Учёные Брюссельского свободного университета установили, что главный барьер для второй жизни таких аппаратов — встроенный механизм защиты, созданные для охраны данных владельца. Производственная архитектура безопасности фактически намертво привязывает устройство к своему первоначальному изготовителю и блокирует попытки перенастроить телефон под новые задачи.

По данным WEEE Forum, за 2022 год в категорию электронных отходов перешли около 5,3 млрд мобильных аппаратов. Львиная доля этого объёма физически продолжала работать. Средний пользователь меняет смартфон каждые 3 года, хотя вычислительной мощности устройства хватает ещё на длительный период эксплуатации. Получается странный перекос, при котором рабочее железо отправляется на переработку, а мировая индустрия наращивает производство новых моделей.

Стоит обратить внимание на то, что речь идёт не о редких казусах, а о системной проблеме планетарного масштаба, когда сотни миллионов исправных аппаратов ежегодно теряют шанс на вторую жизнь.

На бумаге задача выглядит несложной. Бывший флагман пятилетней давности легко превращается в домашний сервер, шлюз для умного дома, систему видеонаблюдения за домашними животными или специализированный мини-компьютер. Реальность встречает энтузиастов целой стеной технических барьеров, которые заложены в само устройство ещё на конвейере.

Корень проблемы скрывается в многоуровневой архитектуре защиты современных аппаратов. Стандартный смартфон опирается на несколько взаимосвязанных подсистем безопасности:

• технология TrustZone в процессорах ARM, разделяющая устройство на доверенную и обычную среды;
• защищённое хранилище криптографических ключей Android Keystore;
• цепочка проверенной загрузки от микросхемы до пользовательского интерфейса;
• проприетарные модули проверки целостности прошивки от производителя;
• закрытые ключи подписи, доступные только изготовителю аппарата.

TrustZone в архитектуре ARM делит чип на два изолированных мира. Один мир крутит привычный Android, второй отвечает за криптографию, биометрию и операции с конфиденциальными данными. Через защищённую зону работает Android Keystore, где лежат данные для проверки подлинности системы. Контроль над этой зоной целиком находится в руках производителя смартфона, и сторонние разработчики туда не попадают никакими стандартными методами.

Проверенная загрузка добавляет ещё один слой ограничений. Каждый компонент при включении телефона проверяется на соответствие доверенной подписи, а отправной точкой служит код, прожжённый в кремнии ещё на заводе. Любое отклонение от ожидаемой подписи останавливает запуск устройства. Антивирусам и зловредам такая схема становится поперёк горла, но энтузиастам с альтернативными прошивками — тоже.

Интересно, что разблокировка загрузчика часто превращается в пиррову победу, поскольку вместе со снятием ограничений отключаются и сами проверки криптографических ключей, а смартфон лишается значительной доли встроенной защиты.

Для практического эксперимента команда выбрала PinePhone — открытый аппарат на процессоре Allwinner A64 с четырьмя ядрами Arm Cortex-A53. Коммерческие смартфоны непригодны для такой работы из-за закрытой документации и зашитых ключей производителя. PinePhone предлагает открытую схемотехнику, отсутствие фабричных ключей и свободу замены загрузчика. Лучшего полигона для опытов по восстановлению защиты после полной перепрошивки придумать сложно.

Работа двигалась поэтапно через несколько стадий технической сборки:

• установка собственной версии загрузчика U-Boot из открытого исходного кода;
• использование аудиоразъёма аппарата в роли последовательного порта для журналов диагностики;
• добавление защищённого монитора и ядра Linux в собранный образ;
• автоматизация процесса сборки прошивки через инструментарий Buildroot;
• попытка интеграции открытой доверенной среды исполнения OP-TEE.

Полноценная Linux-система на смартфоне у инженеров заработала. Аппарат вполне справлялся с ролью бюджетного домашнего сервера или сетевого шлюза. Дальше начались сложности другого порядка. Возврат полноценной защищённой среды через OP-TEE упёрся в тонкую настройку областей памяти и разделения доступа между мирами TrustZone.

Каждая малейшая погрешность в конфигурации приводила к тому, что обычное ядро Linux дотягивалось до защищённых участков памяти. Система валилась в сбои, отказывалась стабильно работать, а многочасовые попытки тонкой подстройки не давали устойчивого результата. Рабочую конфигурацию OP-TEE команде получить так и не удалось, хотя в их распоряжении находилась полная документация и свобода действий.

Уточняется, что подобный результат на максимально открытой платформе с полной технической документацией означает практически нулевые шансы для энтузиастов повторить эксперимент на серийном устройстве крупного бренда.

Массовые модели усугубляют картину сразу по нескольким направлениям. Закрытые загрузчики ставят первое препятствие, проприетарный код добавляет второе, а отсутствие документации по железу превращает любую попытку модификации в реверс-инжиниринг колоссального масштаба. Затраты времени и денег на такую работу делают её экономически нецелесообразной для большинства независимых разработчиков и небольших команд.

Парадокс ситуации виден невооружённым глазом. Те самые подсистемы защиты, которые героически отбивают атаки хакеров и оберегают банковские приложения во время активной службы устройства, превращаются в кандалы после окончания его коммерческого срока. Производитель прекращает выпуск обновлений, поддержку модели сворачивает, а сам аппарат остаётся заперт изнутри собственной системой безопасности.

Эксперты редакции CISOCLUB уверены, что описанная проблема выходит далеко за рамки чисто технической задачи и затрагивает экологию, экономику и архитектуру цифровых прав потребителей. Концепция доверенной загрузки изначально проектировалась без оглядки на сценарий передачи устройства новому владельцу с другими задачами. Производители смартфонов получают мощный коммерческий стимул сохранять текущую модель привязки, поскольку она стимулирует продажи новых аппаратов.

Решение лежит в плоскости стандартизации — отрасль нуждается в едином механизме легитимной передачи контроля над устройством его последующему владельцу с сохранением части защитных функций. Без таких изменений миллиарды рабочих смартфонов продолжат пополнять полигоны электронных отходов, а декларации о бережном отношении к ресурсам планеты останутся красивыми словами в годовых отчётах.