Il CEO dell’app di messaggistica Signal ha violato uno dei dispositivi prodotti da Cellebrite per lo sblocco degli iPhone, rivelando vulnerabilità critiche che potrebbero essere utilizzate contro gli investigatori della polizia.
Cellebrite è una società di digital forensics che produce strumenti e risorse utili per sbloccare dispositivi come l’iPhone. Da anni, l’azienda vende i suoi dispositivi di hacking al governo e alle forze dell’ordine per uso investigativo e persino ai distretti delle scuole pubbliche statunitensi.
Mercoledì, il fondatore di Signal Moxie Marlinspike ha segnalato diverse vulnerabilità nell’hardware dei prodotti Cellebrite che potrebbero essere utilizzate per eseguire codice dannoso su una specifica macchina utilizzata dalla polizia o dal governo. Inoltre, Marlinspike ha affermato che non esistono limiti al tipo di codice dannoso che potrebbe essere eseguito utilizzando queste vulnerabilità.
Ad esempio, includendo un file appositamente formattato in un’app su un dispositivo che viene scansionato da Cellebrite, è possibile eseguire codice che modifica non solo il report di Cellebrite creato in quella scansione, ma anche tutti i precedenti e futuri generati da quella macchina, visto che è possibile inserire o rimuovere testo, e-mail, foto, contatti, file e qualsiasi altro dato senza modifiche rilevabili del timestamp o da errori di checksum. Questo mette seriamente in discussione l’integrità dei dati dei report di Cellebrite, visto che possono essere modificati anche da chi esegue queste scansioni.
Marlinspike spiega che il dispositivo di hacking Cellebrite deve analizzare tutti i tipi di dati non attendibili sull’iPhone o su un altro dispositivo analizzato, ma sembra che sia stata prestata pochissima attenzione alla sicurezza del software di Cellebrite.
Il fondatore di Signal sottolinea che mancano misure standard di mitigazione dei malware e questo consente di sfruttare tantissime vulnerabilità. Ad esempio, il sistema Cellebrite utilizza un software di conversione audio/video di Windows rilasciato nel 2012. Da allora, il software è stato aggiornato con più di 100 correzioni di sicurezza, nessuna delle quali è inclusa nei prodotti Cellebrite.
Nel dispositivo ci sono anche un paio di pacchetti di installazione MSI in Physical Analyzer firmati digitalmente da Apple. Marlinspike suggerisce che i pacchetti, che implementano funzionalità di iTunes e iOS, sono stati estratti dal programma di installazione di Windows per la versione 12.9.0.167 di iTunes. È improbabile che Apple abbia concesso a Cellebrite una licenza per utilizzare il software, il che significa che la sua implementazione potrebbe causare problemi legali.
Il CEO di Signal ha condiviso altri dettagli sui prodotti di hacking dei dispositivi Cellebrite. Ad esempio, l’azienda fornisce due pacchetti software: UFED, che rompe la crittografia per raccogliere dati cancellati o nascosti, e Physical Analyzer, che rileva “trace events” per la raccolta di prove digitali.
Per gli utenti preoccupati di Cellebrite e dei suoi strumenti, Marlinspike sottolinea che i prodotti richiedono l’accesso fisico. In altre parole, non effettuano sorveglianza remota o intercettazione dati.
Marlinspike e il suo team hanno pubblicato i dettagli sulle vulnerabilità di Cellebrite al di fuori dell’ambito della divulgazione responsabile. In quella nota, il CEO ha detto che il suo team sarebbe disposto a condividere i dettagli delle vulnerabilità se Cellebrite condividesse gli exploit che usano per hackerare gli iPhone.
Questa non è la prima volta che Cellebrite ha problemi di sicurezza. Nel 2017, i server dell’azienda sono stati violati, provocando la fuga di dati e file tecnici sui suoi prodotti. Inoltre, sebbene Cellebrite venda i suoi strumenti solo alle forze dell’ordine e ad altre agenzie governative, alcuni dispositivi erano acquistabili anche su eBay negli anni passati.