- Сообщения
- 48
- Реакции
- 44
Тебя упаковали. Телефон в пакете, ты в наручниках. Через пару часов следак отдаёт твой аппарат криминалисту, тот подключает его кабелем к серой коробке размером с планшет — и через час на экране появляется всё: переписки, фото, удалённые файлы, геолокация за последний год, пароли из связки ключей. Устройство, которое это делает, называется Cellebrite UFED Premium — и стоит оно около $30 000. Есть второй игрок — GrayKey от Magnet Forensics, примерно за $65 000 в год. Оба продаются только силовикам, работают в 30+ странах, и на 2026 год вскрывают подавляющее большинство телефонов на рынке.
Подавляющее — но не все. Есть один аппарат, который обе системы так и не смогли вскрыть. И нет, это не последний iPhone.
Как вообще вскрывают телефоны
Прежде чем говорить о защите, нужно понять как работает атака. Cellebrite и GrayKey — это не магия и не "хакерская программа из фильмов". Это аппаратно-программные комплексы, которые эксплуатируют конкретные уязвимости в прошивке, загрузчике или чипе телефона.
Основной вектор — подключение по USB. Устройство отправляет специально сформированные команды через USB-интерфейс, эксплуатирует уязвимость в DFU-режиме или загрузчике, получает доступ к хранилищу и начинает брутфорс пин-кода. На старых устройствах это занимает минуты, на новых — часы или дни, в зависимости от длины пароля и версии ОС.
И тут ключевой момент — в каком состоянии телефон попал к криминалисту.
BFU и AFU — два слова, от которых зависит всё
Когда ты включаешь телефон и вводишь пин-код в первый раз после перезагрузки — он переходит из состояния BFU (Before First Unlock) в AFU (After First Unlock). Разница колоссальная.
BFU — телефон только что включился, пин ещё не вводили. Почти все данные зашифрованы, ключи дешифровки заперты в Secure Enclave (на iPhone) или Titan M2 (на Pixel). Cellebrite в этом состоянии может достать минимум — обычно только базовую информацию об устройстве, иногда список контактов из SIM. Ничего интересного.
AFU — ты уже разблокировал телефон хотя бы раз с момента последней перезагрузки, а потом заблокировал экран. Формально он залочен, но ключи дешифровки уже загружены в память. Cellebrite подключается по USB, эксплуатирует уязвимость, читает ключи из RAM — и получает доступ ко всему: файловой системе, связке ключей, удалённым данным, кэшу приложений.
Проще говоря — заблокированный экран после перезагрузки и заблокированный экран после использования это два совершенно разных уровня защиты. Первый — сейф с закрытым замком. Второй — сейф, где дверца прикрыта, но ключ торчит в замке.
И вот тут самое неприятное: 99% людей носят телефон в AFU-состоянии. Ты перезагружаешь телефон раз в неделю, может реже. Всё остальное время он в AFU — экран потух, но ключи в памяти. Если тебя взяли в этот момент — криминалисту повезло.
Что ломается, а что нет — утечки документов Cellebrite
В апреле 2024 года утекли внутренние документы Cellebrite — так называемые iOS Support Matrix и Android Support Matrix. Это таблицы, которые компания рассылает клиентам из числа силовиков, и в них чётко указано что вскрывается, а что нет. Пресс-секретарь Cellebrite подтвердил подлинность документов журналистам 404 Media.
iPhone:
Android:
Картина ясная: свежие айфоны держатся неплохо (пока), но только если обновляться вовремя. Андроид — проходной двор, за исключением одного семейства.
Октябрь 2025 — утечка, которая всё изменила
В октябре 2025 года аноним под ником rogueFed попал на закрытый брифинг Cellebrite для силовиков через Microsoft Teams. Записал экран и выложил скриншоты на форуме GrapheneOS. На скриншотах — обновлённая Android OS Access Support Matrix.
Главное открытие: каждый заблокированный Pixel 9 с установленной GrapheneOS отмечен как недоступный. Не "In Research", не "Coming soon" — недоступен.
Представители Cellebrite на том же брифинге сказали силовикам прямым текстом: доступ возможен только к устройствам на версиях GrapheneOS до конца 2022 года. Всё что новее — мимо. А с конца 2024 года даже из полностью разблокированного устройства на GrapheneOS невозможно извлечь данные сверх того, что доступно самому пользователю. То есть Cellebrite буквально не даёт ничего, чего ты сам не мог бы показать следаку.
Коробка за $30 000 — и телефон за $500 её переиграл.
Что такое GrapheneOS и почему именно она
GrapheneOS — это кастомная прошивка для Google Pixel, построенная поверх AOSP (открытый исходный код Android) с фокусом на безопасность. Никакого блоатвера, никаких сервисов Google (хотя их можно установить в песочницу, если нужно), зато целый стек защитных механизмов, которых нет ни в стоковом Android, ни тем более в iOS.
Почему именно Pixel? Потому что у Google — собственный чип безопасности Titan M2, открытый загрузчик (можно ставить кастомную прошивку и перезаблокировать его), и регулярные обновления безопасности. Samsung, Xiaomi и остальные не дают перезаблокировать загрузчик после установки кастомной прошивки — а разблокированный загрузчик это дыра, через которую как раз заходят Cellebrite и GrayKey.
Что конкретно делает GrapheneOS непробиваемой:
1. Авторебут
Настраиваемый таймер (по дефолту 18 часов): если телефон не разблокировали за это время — он автоматически перезагружается и возвращается в BFU-состояние. Все ключи дешифровки стираются из памяти. Тебя взяли, телефон лежит в вещдоках, через 18 часов он сам перезагрузился — и Cellebrite получит зашифрованный кирпич.
Google подсмотрела эту идею и добавила авторебут в стоковый Android в 2025 году. Но по дефолту он срабатывает через 72 часа — за это время криминалист уже всё достанет. В GrapheneOS можно выставить хоть 4 часа.
2. USB-защита
Настройка "Запретить новые USB-периферии" — когда телефон заблокирован, USB-порт работает только на зарядку. Никакие данные по кабелю не передаются. Cellebrite подключается, а там глухая стена — порт физически не принимает команды. Плюс отдельная настройка "USB — только зарядка" в разделе Exploit Protection.
3. Duress PIN — пин-код самоуничтожения
Ты заходишь в настройки и задаёшь второй пин-код. Выглядит как обычный пин, но при вводе запускает необратимое уничтожение данных: затирает ключи шифрования в аппаратном хранилище, удаляет eSIM, принудительно выключает устройство. Процесс нельзя прервать — после ввода duress PIN данные не подлежат восстановлению вообще.
Сценарий: тебя прижали, требуют разблокировать, ты вводишь "другой" пин-код — телефон моргнул и сдох. Внутри чистый кирпич. Доказать что ты намеренно уничтожил данные, а не просто ввёл неправильный код — попробуй.
4. Hardened allocator и защита памяти
GrapheneOS использует собственный аллокатор памяти (hardened_malloc), который рандомизирует расположение данных в RAM и зачищает освобождённую память. Для инструментов вроде Cellebrite, которые ищут ключи шифрования в памяти, это огромная проблема — данные не лежат там, где ожидается, и не остаются после освобождения.
5. Verified boot с перезаблокированным загрузчиком
После установки GrapheneOS загрузчик заново блокируется. Это значит, что при каждой загрузке проверяется целостность прошивки. Если кто-то модифицировал ОС — телефон не загрузится. Cellebrite не может подсунуть модифицированный загрузочный образ, как это делается на устройствах с разблокированным загрузчиком.
Практическая настройка — что делать прямо сейчас
Если после прочитанного ты решил переезжать — вот конкретный план. Без воды, только действия.
Шаг 1 — железо
Покупаешь Google Pixel. Идеально — Pixel 9 или 9 Pro, но подойдёт и Pixel 7/8. Главное — не б/у с непонятной историей, а новый, в плёнке. Pixel 6 тоже работает, но у него уже скоро кончится поддержка обновлений. Стоимость — от $450 за Pixel 9.
Шаг 2 — установка GrapheneOS
Открываешь grapheneos.org/install с другого устройства. Есть веб-установщик — подключаешь Pixel по USB к компьютеру, разблокируешь загрузчик, ставишь прошивку, заблокируешь загрузчик обратно. Весь процесс — минут 15, если читать инструкцию. Командная строка не нужна.
Шаг 3 — критические настройки после установки
Шаг 4 — Google-сервисы
GrapheneOS умеет запускать Google Play в изолированной песочнице — без привилегий, без доступа к системе. Можешь поставить мессенджеры, банковские приложения (если надо), но они не получат тех данных, которые имеют на стоковом Android. Если Google-сервисы не нужны — не ставь вообще, меньше поверхность атаки.
Шаг 5 — на случай если всё пошло не так
А что с iPhone?
iPhone 15 и новее на iOS 17.4+ — пока держатся. Cellebrite не может их вскрыть по данным утечки. Но есть нюансы, которые портят картину.
Во-первых, Apple контролирует обновления — и может в любой момент закрыть или открыть доступ. Ты не контролируешь свой телефон, за тебя это решает корпорация из Купертино. Во-вторых, iCloud — если включён бэкап, Apple отдаёт данные по запросу силовиков. Переписки iMessage, фото, заметки — всё что ушло в облако, всё доступно. В-третьих, USB Restricted Mode в iOS можно обойти определёнными способами — Cellebrite периодически находит пути. В-четвёртых — это закрытый исходный код. Ты не можешь проверить что именно делает твой iPhone. С GrapheneOS можно — код открыт, аудиты проводятся регулярно.
И самое главное — нет duress PIN, нет настраиваемого авторебута, нет гранулярного контроля над USB. Apple решает за тебя, что тебе нужно для безопасности, а что нет.
Слабые места — без розовых очков
GrapheneOS — не серебряная пуля, и честно об этом сказать важнее чем рекламировать.
Зависимость от Pixel. Работает только на Google Pixel. Если завтра Google перестанет их выпускать или закроет загрузчик — всё, конец. Пока этого не происходит, но монополия на одного производителя — это риск.
Обновления критичны. Вся защита работает на актуальной версии. Если забил на обновления и сидишь на прошивке двухлетней давности — ты такой же уязвимый, как и все остальные. Cellebrite явно сказали: версии до конца 2022 вскрываются.
Отпечаток пальца не защитит от принуждения. Если следак прижал палец к датчику — телефон разблокирован, GrapheneOS тут не поможет. Биометрия удобна в быту, но в ситуации задержания это слабое звено. Длинный пароль, который ты не обязан сообщать, — надёжнее.
Человеческий фактор. Самый защищённый телефон в мире бесполезен, если ты хранишь на нём незашифрованные заметки с адресами, кидаешь фото без автоудаления, и не настроил disappearing messages. Инструмент работает ровно настолько, насколько грамотно ты его используешь.
Итого
Cellebrite и GrayKey вскрывают 90% телефонов на рынке. Старые айфоны, почти любой Android от Samsung до Xiaomi, даже свежие Pixel на стоковой прошивке в AFU — всё это открывается кабелем и часом работы.
Pixel с GrapheneOS — единственное устройство, которое в октябре 2025 года стояло в документах Cellebrite с пометкой "недоступно". Авторебут превращает его в зашифрованный кирпич через несколько часов. USB-защита не даёт подключить комплекс. Duress PIN уничтожает данные без следа. И всё это — на аппарате за $500, против комплекса за $30 000–65 000.
Выводы каждый делает сам. Но если ты ещё таскаешь с собой Samsung с PIN 1234 — перечитай статью сначала.
Подавляющее — но не все. Есть один аппарат, который обе системы так и не смогли вскрыть. И нет, это не последний iPhone.
Как вообще вскрывают телефоны
Прежде чем говорить о защите, нужно понять как работает атака. Cellebrite и GrayKey — это не магия и не "хакерская программа из фильмов". Это аппаратно-программные комплексы, которые эксплуатируют конкретные уязвимости в прошивке, загрузчике или чипе телефона.
Основной вектор — подключение по USB. Устройство отправляет специально сформированные команды через USB-интерфейс, эксплуатирует уязвимость в DFU-режиме или загрузчике, получает доступ к хранилищу и начинает брутфорс пин-кода. На старых устройствах это занимает минуты, на новых — часы или дни, в зависимости от длины пароля и версии ОС.
И тут ключевой момент — в каком состоянии телефон попал к криминалисту.
BFU и AFU — два слова, от которых зависит всё
Когда ты включаешь телефон и вводишь пин-код в первый раз после перезагрузки — он переходит из состояния BFU (Before First Unlock) в AFU (After First Unlock). Разница колоссальная.
BFU — телефон только что включился, пин ещё не вводили. Почти все данные зашифрованы, ключи дешифровки заперты в Secure Enclave (на iPhone) или Titan M2 (на Pixel). Cellebrite в этом состоянии может достать минимум — обычно только базовую информацию об устройстве, иногда список контактов из SIM. Ничего интересного.
AFU — ты уже разблокировал телефон хотя бы раз с момента последней перезагрузки, а потом заблокировал экран. Формально он залочен, но ключи дешифровки уже загружены в память. Cellebrite подключается по USB, эксплуатирует уязвимость, читает ключи из RAM — и получает доступ ко всему: файловой системе, связке ключей, удалённым данным, кэшу приложений.
Проще говоря — заблокированный экран после перезагрузки и заблокированный экран после использования это два совершенно разных уровня защиты. Первый — сейф с закрытым замком. Второй — сейф, где дверца прикрыта, но ключ торчит в замке.
И вот тут самое неприятное: 99% людей носят телефон в AFU-состоянии. Ты перезагружаешь телефон раз в неделю, может реже. Всё остальное время он в AFU — экран потух, но ключи в памяти. Если тебя взяли в этот момент — криминалисту повезло.
Что ломается, а что нет — утечки документов Cellebrite
В апреле 2024 года утекли внутренние документы Cellebrite — так называемые iOS Support Matrix и Android Support Matrix. Это таблицы, которые компания рассылает клиентам из числа силовиков, и в них чётко указано что вскрывается, а что нет. Пресс-секретарь Cellebrite подтвердил подлинность документов журналистам 404 Media.
iPhone:
- iPhone X и старше — полный доступ, любая iOS. Эти устройства Apple давно сняла с поддержки, уязвимости не патчатся, вскрываются за минуты
- iPhone XR, 11 серия — вскрываются на iOS до 17.3.1 включительно (метод Supersonic BF — ускоренный брутфорс)
- iPhone 12 и новее на iOS 17.1–17.3.1 — статус "Coming soon" (на момент утечки не ломались, но Cellebrite работала над этим)
- Любой iPhone на iOS 17.4 и выше — статус "In Research". Не вскрывается. Вообще
- Вся линейка iPhone 15 — "In Research" на любой версии iOS
Android:
- Samsung, Xiaomi, Huawei, OnePlus, большинство производителей — вскрываются в AFU-состоянии. Почти все модели, почти все версии Android
- Google Pixel 6, 7, 8 — вскрываются в AFU, но не в BFU. Выключенный или перезагруженный Pixel с Titan M2 не отдаёт данные
Картина ясная: свежие айфоны держатся неплохо (пока), но только если обновляться вовремя. Андроид — проходной двор, за исключением одного семейства.
Октябрь 2025 — утечка, которая всё изменила
В октябре 2025 года аноним под ником rogueFed попал на закрытый брифинг Cellebrite для силовиков через Microsoft Teams. Записал экран и выложил скриншоты на форуме GrapheneOS. На скриншотах — обновлённая Android OS Access Support Matrix.
Главное открытие: каждый заблокированный Pixel 9 с установленной GrapheneOS отмечен как недоступный. Не "In Research", не "Coming soon" — недоступен.
Представители Cellebrite на том же брифинге сказали силовикам прямым текстом: доступ возможен только к устройствам на версиях GrapheneOS до конца 2022 года. Всё что новее — мимо. А с конца 2024 года даже из полностью разблокированного устройства на GrapheneOS невозможно извлечь данные сверх того, что доступно самому пользователю. То есть Cellebrite буквально не даёт ничего, чего ты сам не мог бы показать следаку.
Коробка за $30 000 — и телефон за $500 её переиграл.
Что такое GrapheneOS и почему именно она
GrapheneOS — это кастомная прошивка для Google Pixel, построенная поверх AOSP (открытый исходный код Android) с фокусом на безопасность. Никакого блоатвера, никаких сервисов Google (хотя их можно установить в песочницу, если нужно), зато целый стек защитных механизмов, которых нет ни в стоковом Android, ни тем более в iOS.
Почему именно Pixel? Потому что у Google — собственный чип безопасности Titan M2, открытый загрузчик (можно ставить кастомную прошивку и перезаблокировать его), и регулярные обновления безопасности. Samsung, Xiaomi и остальные не дают перезаблокировать загрузчик после установки кастомной прошивки — а разблокированный загрузчик это дыра, через которую как раз заходят Cellebrite и GrayKey.
Что конкретно делает GrapheneOS непробиваемой:
1. Авторебут
Настраиваемый таймер (по дефолту 18 часов): если телефон не разблокировали за это время — он автоматически перезагружается и возвращается в BFU-состояние. Все ключи дешифровки стираются из памяти. Тебя взяли, телефон лежит в вещдоках, через 18 часов он сам перезагрузился — и Cellebrite получит зашифрованный кирпич.
Google подсмотрела эту идею и добавила авторебут в стоковый Android в 2025 году. Но по дефолту он срабатывает через 72 часа — за это время криминалист уже всё достанет. В GrapheneOS можно выставить хоть 4 часа.
2. USB-защита
Настройка "Запретить новые USB-периферии" — когда телефон заблокирован, USB-порт работает только на зарядку. Никакие данные по кабелю не передаются. Cellebrite подключается, а там глухая стена — порт физически не принимает команды. Плюс отдельная настройка "USB — только зарядка" в разделе Exploit Protection.
3. Duress PIN — пин-код самоуничтожения
Ты заходишь в настройки и задаёшь второй пин-код. Выглядит как обычный пин, но при вводе запускает необратимое уничтожение данных: затирает ключи шифрования в аппаратном хранилище, удаляет eSIM, принудительно выключает устройство. Процесс нельзя прервать — после ввода duress PIN данные не подлежат восстановлению вообще.
Сценарий: тебя прижали, требуют разблокировать, ты вводишь "другой" пин-код — телефон моргнул и сдох. Внутри чистый кирпич. Доказать что ты намеренно уничтожил данные, а не просто ввёл неправильный код — попробуй.
4. Hardened allocator и защита памяти
GrapheneOS использует собственный аллокатор памяти (hardened_malloc), который рандомизирует расположение данных в RAM и зачищает освобождённую память. Для инструментов вроде Cellebrite, которые ищут ключи шифрования в памяти, это огромная проблема — данные не лежат там, где ожидается, и не остаются после освобождения.
5. Verified boot с перезаблокированным загрузчиком
После установки GrapheneOS загрузчик заново блокируется. Это значит, что при каждой загрузке проверяется целостность прошивки. Если кто-то модифицировал ОС — телефон не загрузится. Cellebrite не может подсунуть модифицированный загрузочный образ, как это делается на устройствах с разблокированным загрузчиком.
Практическая настройка — что делать прямо сейчас
Если после прочитанного ты решил переезжать — вот конкретный план. Без воды, только действия.
Шаг 1 — железо
Покупаешь Google Pixel. Идеально — Pixel 9 или 9 Pro, но подойдёт и Pixel 7/8. Главное — не б/у с непонятной историей, а новый, в плёнке. Pixel 6 тоже работает, но у него уже скоро кончится поддержка обновлений. Стоимость — от $450 за Pixel 9.
Шаг 2 — установка GrapheneOS
Открываешь grapheneos.org/install с другого устройства. Есть веб-установщик — подключаешь Pixel по USB к компьютеру, разблокируешь загрузчик, ставишь прошивку, заблокируешь загрузчик обратно. Весь процесс — минут 15, если читать инструкцию. Командная строка не нужна.
Шаг 3 — критические настройки после установки
- Settings > Security > Auto reboot — ставишь 8 часов (или меньше, если параноик)
- Settings > Security & Privacy > Exploit Protection > USB-C port — Charging only
- Settings > Security & Privacy > Device unlock > Duress Password — задаёшь пин самоуничтожения
- Пин-код основной — минимум 8 цифр, а лучше буквенно-цифровой пароль. 4-значный пин брутфорсится за часы даже на Titan M2
- Биометрика (отпечаток) — удобство, но при задержании палец могут приложить принудительно. Решай сам
Шаг 4 — Google-сервисы
GrapheneOS умеет запускать Google Play в изолированной песочнице — без привилегий, без доступа к системе. Можешь поставить мессенджеры, банковские приложения (если надо), но они не получат тех данных, которые имеют на стоковом Android. Если Google-сервисы не нужны — не ставь вообще, меньше поверхность атаки.
Шаг 5 — на случай если всё пошло не так
- Заранее продумай, какие данные вообще хранить на устройстве. Лучший способ защитить информацию — не таскать её с собой
- Критичные переписки — через мессенджеры с disappearing messages (Signal, Session). Настрой автоудаление на 24 часа или меньше
- Фото, файлы, заметки — в зашифрованном облаке или на отдельном устройстве дома. Не на телефоне который ты берёшь с собой
А что с iPhone?
iPhone 15 и новее на iOS 17.4+ — пока держатся. Cellebrite не может их вскрыть по данным утечки. Но есть нюансы, которые портят картину.
Во-первых, Apple контролирует обновления — и может в любой момент закрыть или открыть доступ. Ты не контролируешь свой телефон, за тебя это решает корпорация из Купертино. Во-вторых, iCloud — если включён бэкап, Apple отдаёт данные по запросу силовиков. Переписки iMessage, фото, заметки — всё что ушло в облако, всё доступно. В-третьих, USB Restricted Mode в iOS можно обойти определёнными способами — Cellebrite периодически находит пути. В-четвёртых — это закрытый исходный код. Ты не можешь проверить что именно делает твой iPhone. С GrapheneOS можно — код открыт, аудиты проводятся регулярно.
И самое главное — нет duress PIN, нет настраиваемого авторебута, нет гранулярного контроля над USB. Apple решает за тебя, что тебе нужно для безопасности, а что нет.
Слабые места — без розовых очков
GrapheneOS — не серебряная пуля, и честно об этом сказать важнее чем рекламировать.
Зависимость от Pixel. Работает только на Google Pixel. Если завтра Google перестанет их выпускать или закроет загрузчик — всё, конец. Пока этого не происходит, но монополия на одного производителя — это риск.
Обновления критичны. Вся защита работает на актуальной версии. Если забил на обновления и сидишь на прошивке двухлетней давности — ты такой же уязвимый, как и все остальные. Cellebrite явно сказали: версии до конца 2022 вскрываются.
Отпечаток пальца не защитит от принуждения. Если следак прижал палец к датчику — телефон разблокирован, GrapheneOS тут не поможет. Биометрия удобна в быту, но в ситуации задержания это слабое звено. Длинный пароль, который ты не обязан сообщать, — надёжнее.
Человеческий фактор. Самый защищённый телефон в мире бесполезен, если ты хранишь на нём незашифрованные заметки с адресами, кидаешь фото без автоудаления, и не настроил disappearing messages. Инструмент работает ровно настолько, насколько грамотно ты его используешь.
Итого
Cellebrite и GrayKey вскрывают 90% телефонов на рынке. Старые айфоны, почти любой Android от Samsung до Xiaomi, даже свежие Pixel на стоковой прошивке в AFU — всё это открывается кабелем и часом работы.
Pixel с GrapheneOS — единственное устройство, которое в октябре 2025 года стояло в документах Cellebrite с пометкой "недоступно". Авторебут превращает его в зашифрованный кирпич через несколько часов. USB-защита не даёт подключить комплекс. Duress PIN уничтожает данные без следа. И всё это — на аппарате за $500, против комплекса за $30 000–65 000.
Выводы каждый делает сам. Но если ты ещё таскаешь с собой Samsung с PIN 1234 — перечитай статью сначала.
