Tvůrce privátní chatovací aplikace Signal Moxie Marlinspike oznámil na blogu, že se mu podařilo získat tašku s hackovacími nástroji od firmy Cellebrite, které využívají bezpečnostní složky pro získávání dat ze zabezpečených zařízení a aplikací. Při zkoumání nástrojů přitom zjistil, že software od Cellebrite má sám řadu bezpečnostních chyb a zranitelností.
Hackerské nástroje se skládají z programu UFED a Physical Analyzer, a sady propojovacích kabelů, přičemž Cellebrite na konci loňského roku oznámil, že do druhého jmenovaného softwaru přidal podporu získání dat z aplikace Signal. Marlinspike ale uvedl, že zmíněné nástroje jen umí zkopírovat data z odemčeného telefonu či jiného zařízení do počítače a následně je zobrazit v přehledné formě. Podpora pro Signal pak podle něj znamená, že Physical Analyzer dokáže zobrazit formát souborů využívaných Signalem.
„Jeden ze způsobů, jak uvažovat nad produkty Cellebrite je ten, že pokud někdo drží v ruce vaše odemčené zařízení, může otevřít libovolnou aplikaci, udělat screenshot a následně ho uložit pro pozdější využití. Cellebrite v zásadě tento proces automatizuje,“ popisuje Marlinspike funkci nástrojů, ke kterým se údajně dostal „opravdu neuvěřitelnou náhodou,“ když byl na procházce a někdo před ním vyhodil z náklaďáku tašku s produkty Cellebrite.
Nástroje Cellebrite, kterých se zmocnil Signal.
Při zkoumání nástrojů pak pracovníci Signalu zjistili, že Cellebrite využívá řadu roky neaktualizovaných knihoven, jako například FFmepg z roku 2012. Přes tyto knihovny je pak podle Marlinspikea možné spustit škodlivý kód, případně upravit záznamy ve zkoumaném zařízení, a to zcela bez povšimnutí. Příklad zneužití firma ukázala na videu.
Our latest blog post explores vulnerabilities and possible Apple copyright violations in Cellebrite's software:
— Signal (@signalapp) April 21, 2021
"Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective"https://t.co/DKgGejPu62 pic.twitter.com/X3ghXrgdfo
„Například zahrnutím speciálně naformátovaného, ale jinak neškodného souboru do aplikace na zařízení, které je poté skenováno pomocí Cellebrite, je možné spustit kód, který upravuje nejen výstup analýzy vytvořený při tomto skenování, ale může také libovolným způsobem změnit všechny předchozí i budoucí reporty Cellebrite ze všech dříve či do budoucna skenovaných zařízení (vkládání nebo odebírání textu, e-mailů, fotografií, kontaktů, souborů nebo jakýchkoli jiných dat), bez detekovatelných změn, časového záznamu nebo neplatného kontrolního součtu,“ dodává zakladatel Signalu s tím, že změny mohou být prováděny i náhodně a mohou tak vyvstat pochybnosti o integritě reportů Cellebrite.
ČLÁNKY DO MAILU