Views: 0
Nakon što je kompanija za hakovanje mobilnih telefona Cellebrite saopštila da je našla način da pristupi aplikaciji za sigurnu razmenu poruka Signal, u svom blogu Signal je saopštio da je okrenuo ploču na drugu stranu.
Tvorac aplikacije Moxie Marlinspike tvrdi da je njegov tim nabavio Cellebrite-ov hakerski uređaj i otkrio nekoliko ranjivosti. Zatim je nagovestio da će Signal ažurirati aplikaciju kako bi omeo sve pokušaje državnih službi koje održavaju red i zakon da je hakuju.
Cellebrite prodaje paket „uređaja za analizu podataka“ pod nazivom UFED koji omogućava državnim službama poput policije da uđu u iOS ili Android telefone i izvuku sve podatke iz poruka, zapise poziva, fotografije i druge podatke. FBI je u prošlosti navodno koristio taj paket alata za hakovanje za otključavanje iPhone-a.
U tweet-u, Signal je demonstrirao hakovanje na delu
Marlinspike je uspeo da dođe do Cellebrite UFED uređaja, u kompletu sa softverskim i hardverskim ključem. U šali je rekao da ga je primetio dok je šetao i da je „uređaj ispao iz kamiona“. (Starije verzije uređaja su mogle da se kupe na eBay-u i drugim web lokacijama.)
Primetio je da je uređaj koristio neke zastarele softverske elemente. „Iznenadili smo se kada smo otkrili da je vrlo malo pažnje posvećeno sopstvenoj softverskoj sigurnosti kompanije Cellebrite“, napisao je Marlinspike u objavi na kompanijskom blogu.
Tim Signala otkrio je da bi uključivanjem „posebno formatiranih, ali na drugi način bezazlenih datoteka u bilo koju aplikaciju na uređaju“ koje je skenirao Cellebrite, mogao pokrenuti kod koji modifikuje UFED izveštaj. Na primer, potencijalno se može ubaciti ili ukloniti tekst, e-pošta, fotografije, kontakti i drugi podaci, a da pritom ne ostane trag od neovlašćenog korišćenja.
Our latest blog post explores vulnerabilities and possible Apple copyright violations in Cellebrite's software:
— Signal (@signalapp) April 21, 2021
"Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective"https://t.co/DKgGejPu62 pic.twitter.com/X3ghXrgdfo
Cellebrite je rekao za Ars Technica da se „zalaže za zaštitu integriteta podataka korisnika i da kontinuirano revidira i ažurira svoj softver kako bi klijente opremili najboljim dostupnim digitalnim obaveštajnim rešenjima“.