Alat peretasan smartphone Cellebrite bisa mengekstrak data dari sebagian besar perangkat Pixel… hanya GrapheneOS yang jadi pengecualian

• Bocoran briefing internal Cellebrite mengungkap bahwa seri Pixel 6~9 termasuk target yang datanya bisa diekstrak dengan alat peretasan
• Cellebrite adalah perusahaan forensik digital yang berbasis di Israel, yang menjual alat ekstraksi, pemulihan, dan analisis data dari perangkat digital seperti smartphone dan tablet kepada lembaga penegak hukum dan badan intelijen di seluruh dunia
• Produk utamanya adalah perangkat bernama UFED (Universal Forensic Extraction Device), yaitu "alat untuk meretas semua data seperti SMS/email/riwayat panggilan/foto/GPS pada smartphone yang terkunci"
• Seorang pengguna anonim masuk tanpa izin ke rapat video Cellebrite lalu mengambil tangkapan layar tabel status dukungan untuk tiap perangkat Pixel, dan mengunggahnya ke forum GrapheneOS
• Menurut tabel tersebut, Pixel yang memasang GrapheneOS sejak versi setelah 2022 aman di semua status BFU/AFU/Unlocked, dan pada build terbaru ekstraksi data sepenuhnya tidak dimungkinkan
• Sebaliknya, pada Pixel OS bawaan, akses data dimungkinkan baik dalam status sebelum dibuka kunci (BFU), setelah dibuka sekali (AFU), maupun terbuka penuh (Unlocked)

Kebocoran informasi internal Cellebrite

• Peretas anonim rogueFed mengakses briefing Teams milik Cellebrite, mengambil tangkapan layar daftar dukungan ponsel Pixel, lalu mengunggahnya ke forum GrapheneOS
  • Rapat tersebut adalah briefing tertutup untuk lembaga penegak hukum, dan 404 Media kemudian melaporkan postingan itu lebih lanjut
  • Pada gambar tangkapan layar yang buram, daftar perangkat yang bisa diretas oleh alat Cellebrite mencakup seri Pixel 6, 7, 8, 9, sementara Pixel 10 tidak ada dalam daftar
• Ekstraksi data dimungkinkan pada semua status BFU, AFU, dan Unlocked
  • BFU (Before First Unlock): kondisi setelah reboot dan belum dibuka kuncinya sama sekali, dengan enkripsi paling kuat diterapkan
  • AFU (After First Unlock): kondisi setelah perangkat pernah dibuka sekali, sehingga sebagian data dapat diakses
  • Unlocked: kondisi terbuka penuh, sehingga akses data paling mudah
• Cellebrite secara eksplisit menyebutkan bahwa pada Pixel OS bawaan, ekstraksi data dimungkinkan di semua status, tetapi dikatakan tidak memiliki fitur brute-force passcode

Keunggulan keamanan GrapheneOS

• Perangkat yang memasang GrapheneOS sejak build setelah 2022 tidak dapat diekstrak datanya bahkan dalam status BFU/AFU
  • Seri Pixel 8 dan 9 sepenuhnya memblokir akses Cellebrite menurut GrapheneOS
  • Pada build setelah 2024, penyalinan juga tidak dimungkinkan bahkan dalam status Unlocked
• GrapheneOS memperkuat keamanan dengan tidak menyertakan layanan Google dan kebijakan enkripsi yang diperketat
• Dokumen internal Cellebrite juga menyebut bahwa "GrapheneOS lebih aman daripada OS bawaan Google"

Informasi lainnya

• Cellebrite juga menyinggung masalah tidak bisa mengkloning eSIM, dan pada seri Pixel 10 keterbatasan ini makin kuat karena SIM fisik dihapus
• Pembocor mengklaim tidak ketahuan meski sempat masuk ke dua rapat Teams, tetapi karena nama penyelenggara telah terekspos, pembatasan akses diperkirakan akan diperketat ke depan
• Ars Technica telah meminta tanggapan resmi kepada Google tentang mengapa custom ROM buatan organisasi nirlaba kecil bisa lebih tahan terhadap peretasan ponsel tingkat industri dibanding Pixel OS resmi, tetapi belum ada jawaban dari Google