Основатель Signal нашёл уязвимости в ПО Cellebrite, ранее сообщившей о «взломе» мессенджера

Основатель Signal нашёл уязвимости в ПО Cellebrite, ранее сообщившей о «взломе» мессенджера

22 апреля, 20212 минуты на чтение
Подписывайтесь на [Код // Дурова] в Telegram. У нас уже 190 000 подписчиков[Код // Дурова] в Telegram

Сооснователь Signal Мокси Марлинспайк обнаружил уязвимость в программном обеспечении израильской компании Cellebrite, которая специализируется на извлечении данных с мобильных телефонов подозреваемых для полиции и правительств. Об этом он рассказал в блоге мессенджера.

По словам Марлинспайка, «по действительно невероятному совпадению» он прогуливался и увидел, как впереди него с грузовика упала небольшая сумка. Подойдя ближе, он увидел на ней надпись «Cellebrite». Внутри обнаружилась последняя версия программного обеспечения израильской компании, аппаратный ключ, предназначенный для предотвращения пиратства и невероятно большое количество кабельных адаптеров.

Для извлечения данных с мобильных устройств, изъятых у подозреваемых в рамках расследования, Cellebrite использует приложения UFED, которое необходимо для взлома блокировки и шифрования и Physical Analyzer, обнаруживающее цифровые доказательства (trace events).

Марлинспайк объяснил, что когда Cellebrite объявила о «взломе» Signal, на самом деле это означало, что в Physical Analyzer добавили поддержку форматов файлов, используемых мессенджером. Это позволяет приложению отображать данные Signal, которые были извлечены из разблокированного устройства, находящегося в физическом владении Cellebrite.

Израильская компания Cellebrite научилась взламывать переписки в мессенджере Signal
Израильская Cellebrite предлагает свою технологию взлома мобильных устройств правоохранительным органам для получения сведений из девайсов преступников.

Основатель Signal выяснил, что в UFED и Physical Analyzer отсутствуют стандартные средства защиты от эксплойтов, и есть много возможностей для использования. В качестве примера он приводит включение файлов DLL FFmpeg от Windows в ПО для преобразования аудио и видео. Оно было создано в 2012 году, но с тех пор не обновлялось, хотя за прошедшее время получило более 100 обновлений.

Кроме того, установочный файл Physical Analyzer содержит два связанных пакета с именами AppleApplicationsSupport64.msi и AppleMobileDeviceSupport6464.msi с цифровой подписью Apple. Эти файлы необходимы приложению для подключения к iOS-устройствам. Марлинспайк пришёл к выводу, что они были извлечены из установщика Windows для iTunes версии 12.9.0.167. Налицо нарушение авторских прав компанией Cellebrite. За комментариями сооснователь Signal обратился к Apple, но «яблочный» производитель пока ничего ему не ответил.

Однако самое главное, уязвимость в ПО Cellebrite позволяет выполнить вредоносный код на компьютере с Windows. Марлинспайк выяснил, что один безобидный файл на смартфоне может привести к манипуляциям с данными и заставить ПО Cellebrite выдать ошибочную информацию:

Например, встроив специально отформатированный, но в остальном безобидный файл в приложение на смартфоне, который затем сканируется программным обеспечением Cellebrite, можно выполнить код, который изменяет не только отчет, создаваемый в этом сканировании, но также и все предыдущие и будущие отчеты со всех ранее отсканированных устройств любым произвольным образом (вставляя или удаляя текст, электронную почту, фотографии, контакты, файлы или любые другие данные), без каких-либо обнаруживаемых изменений меток времени или сбоев контрольной суммы. Это можно сделать даже наугад, что серьезно ставит под сомнение целостность данных отчетов Cellebrite.

Ниже приведен пример видео эксплойта для UFED (аналогичные эксплойты существуют для Physical Analyzer). В ролике приложение обращается к файлу, который выполняет произвольный код на машине Cellebrite. Можно выполнить любой код, при котором изменятся предыдущие отчеты, нарушив целостность будущих отчетов:

Все эти найденные уязвимости могут стать большой проблемой для Cellebrite: и компания, и её клиенты рискуют нарваться на юридические проблемы.

Данная страница содержит «вставки» с других сайтов, скрипты которых могут собирать ваши личные данные для аналитики и своих внутренних потребностей. Редакция рекомендует использовать браузеры с блокировкой трекеров для просмотра таких страниц. Подробнее →
22 апреля, 2021
Подписывайтесь на [Код // Дурова] в Telegram. У нас уже 190 000 подписчиков[Код // Дурова] в Telegram
Комментарии
Показать все