Per anni, la società israeliana di digital forensic Cellebrite ha aiutato i governi e la polizia di tutto il mondo a entrare nei telefoni cellulari confiscati, principalmente sfruttando le vulnerabilità ignorate dai produttori di dispositivi. Ora, Moxie Marlinspike, nata da un’idea dell’app di messaggistica Signal, ha ribaltato la situazione.
Mercoledì, Marlinspike Ha pubblicato un post Ciò ha segnalato una vulnerabilità in Cellebrite che gli ha permesso di eseguire codice dannoso sul computer Windows utilizzato per analizzare il dispositivo. Il ricercatore e ingegnere del software ha sfruttato le vulnerabilità caricando file formattati in modo speciale che potevano essere inclusi in qualsiasi applicazione installata sul dispositivo.
Praticamente senza limiti
Marlinspike scrive: “Non ci sono restrizioni sul codice che può essere eseguito”.
Lui continuò:
Ad esempio, includendo un file appositamente formattato ma innocuo in un’applicazione su un dispositivo che viene quindi scansionato da Cellebrite, è possibile implementare codice che modifica non solo il report di Cellebrite generato in questa scansione, ma anche tutto ciò che è stato fatto in precedenza rapporti Cellebrite generati e futuri da tutti i dispositivi precedentemente scansionati e tutti i futuri dispositivi scansionati in qualsiasi modo arbitrario (inserendo o rimuovendo testo, e-mail, immagini, contatti, file o qualsiasi altro dato), senza modifiche rilevabili su timestamp o errori di checksum. Ciò potrebbe essere fatto in modo casuale e metterebbe in discussione l’integrità dei dati in Cellebrite Reports.
Cellebrite fornisce due pacchetti software: UFED Rompe i blocchi e le protezioni di crittografia per raccogliere dati cancellati o nascosti e scollegarli Analista fisico Divulga prove digitali (“eventi di monitoraggio”).
Per svolgere il proprio lavoro, entrambi i programmi Cellebrite devono analizzare tutti i tipi di dati non attendibili memorizzati sul dispositivo analizzato. Il software illegale di solito viene sottoposto a tutti i tipi di rafforzamento della sicurezza per rilevare e correggere eventuali danni alla memoria o analizzare le vulnerabilità che potrebbero consentire agli hacker di eseguire codice dannoso.
“Guardando sia UFED che Physical Analyzer, tuttavia, siamo rimasti sorpresi di scoprire che è stata prestata pochissima attenzione alla sicurezza del software di Cellebrite”, ha scritto Marlinspike. “Mancano le difese per mitigare lo sfruttamento degli standard industriali e esistono molte opportunità di sfruttamento”.
Compromettere l’integrità
Un esempio di questa mancanza di rigidità è l’inclusione di file DLL di Windows per un programma di conversione audio / video noto come FFmpeg. Il programma è stato creato nel 2012 e da allora non è stato aggiornato. Marlinspike ha detto che negli ultimi nove anni è stato FFmpeg Ha ricevuto oltre 100 aggiornamenti di sicurezza. Nessuna di queste correzioni è stata inclusa nell’involucro FFmpeg nei prodotti Cellebrite.
Marlinspike includeva un file video Mostra UFED mentre analizza un file che ha formattato per eseguire codice arbitrario su una macchina Windows. Il payload MessageBox utilizza l’API di Windows per visualizzare un messaggio benigno, ma Marlinspike ha affermato che “qualsiasi codice può essere eseguito e il carico utile effettivo dell’exploit probabilmente cercherà di modificare i report precedenti in modo non rilevabile, compromettendo l’integrità dei report futuri (forse in modo casuale! ), Oppure Perdita di dati dalla macchina Cellebrite. “
Marlinspike ha affermato di aver trovato anche due pacchetti di installazione MSI firmati digitalmente da Apple e che sembrano essere stati estratti dal programma di installazione di Windows per iTunes. Marlinspike si chiedeva se l’inclusione costituisse una violazione del copyright di Apple. Né Apple né Cellebrite hanno fornito commenti prima di questo post.
Marlinspike ha detto di aver preso l’equipaggiamento di Cellebrite in una “coincidenza davvero incredibile” mentre camminava e “ha visto un piccolo pacco cadere da un camion davanti a me”. L’incidente sembra davvero incredibile. Marlinspike ha rifiutato di fornire ulteriori dettagli su come esattamente ha ottenuto gli strumenti di Cellebrite.
La linea di caduta del camion non era l’unica dichiarazione sfacciata nel post. Marlinspike ha anche scritto:
In una notizia del tutto irrilevante, le prossime versioni di Signal recupereranno periodicamente i file per l’archiviazione delle app. Questi file non vengono mai utilizzati per nulla all’interno di Signal e non interagiscono mai con programmi o dati di Signal, ma sono belli e l’estetica è importante nel programma. I file verranno restituiti solo agli account che sono stati installazioni attive già da un po ‘di tempo e probabilmente solo a basse percentuali in base alla suddivisione del numero di telefono. Abbiamo alcune versioni diverse di file che riteniamo esteticamente gradevoli e le duplicheremo lentamente nel tempo. Questi file non hanno altro significato.
Le vulnerabilità possono fornire foraggio agli avvocati della difesa per contestare l’integrità dei rapporti forensi generati con il programma Cellebrite. I rappresentanti di Cellebrite non hanno risposto a un’e-mail chiedendo se erano a conoscenza delle vulnerabilità o avevano intenzione di risolverle.
Marlinspike scrive: “Siamo ovviamente disposti a rivelare in modo responsabile le vulnerabilità specifiche che conosciamo su Cellebrite se fanno lo stesso con tutte le vulnerabilità che utilizzano per l’estrazione fisica e altri servizi per i rispettivi fornitori, ora e in futuro”.
Il post è stato aggiornato per aggiungere il quarto e il terzo all’ultimo paragrafo.
“Pioniere televisivo a misura di hipster. Risolutore di problemi. Introverso umile e irritante. Lettore. Studente. Esperto di bacon sottilmente affascinante.”
