Основатель Signal нашёл уязвимости в ПО Cellebrite, ранее сообщившей о «взломе» мессенджера

Сооснователь Signal Мокси Марлинспайк обнаружил уязвимость в программном обеспечении израильской компании Cellebrite, которая специализируется на извлечении данных с мобильных телефонов подозреваемых для полиции и правительств. Об этом он рассказал в блоге мессенджера.

По словам Марлинспайка, «по действительно невероятному совпадению» он прогуливался и увидел, как впереди него с грузовика упала небольшая сумка. Подойдя ближе, он увидел на ней надпись «Cellebrite». Внутри обнаружилась последняя версия программного обеспечения израильской компании, аппаратный ключ, предназначенный для предотвращения пиратства и невероятно большое количество кабельных адаптеров.

Для извлечения данных с мобильных устройств, изъятых у подозреваемых в рамках расследования, Cellebrite использует приложения UFED, которое необходимо для взлома блокировки и шифрования и Physical Analyzer, обнаруживающее цифровые доказательства (trace events).

Марлинспайк объяснил, что когда Cellebrite объявила о «взломе» Signal, на самом деле это означало, что в Physical Analyzer добавили поддержку форматов файлов, используемых мессенджером. Это позволяет приложению отображать данные Signal, которые были извлечены из разблокированного устройства, находящегося в физическом владении Cellebrite.

Основатель Signal выяснил, что в UFED и Physical Analyzer отсутствуют стандартные средства защиты от эксплойтов, и есть много возможностей для использования. В качестве примера он приводит включение файлов DLL FFmpeg от Windows в ПО для преобразования аудио и видео. Оно было создано в 2012 году, но с тех пор не обновлялось, хотя за прошедшее время получило более 100 обновлений.

Кроме того, установочный файл Physical Analyzer содержит два связанных пакета с именами AppleApplicationsSupport64.msi и AppleMobileDeviceSupport6464.msi с цифровой подписью Apple. Эти файлы необходимы приложению для подключения к iOS-устройствам. Марлинспайк пришёл к выводу, что они были извлечены из установщика Windows для iTunes версии 12.9.0.167. Налицо нарушение авторских прав компанией Cellebrite. За комментариями сооснователь Signal обратился к Apple, но «яблочный» производитель пока ничего ему не ответил.

Однако самое главное, уязвимость в ПО Cellebrite позволяет выполнить вредоносный код на компьютере с Windows. Марлинспайк выяснил, что один безобидный файл на смартфоне может привести к манипуляциям с данными и заставить ПО Cellebrite выдать ошибочную информацию:

Например, встроив специально отформатированный, но в остальном безобидный файл в приложение на смартфоне, который затем сканируется программным обеспечением Cellebrite, можно выполнить код, который изменяет не только отчет, создаваемый в этом сканировании, но также и все предыдущие и будущие отчеты со всех ранее отсканированных устройств любым произвольным образом (вставляя или удаляя текст, электронную почту, фотографии, контакты, файлы или любые другие данные), без каких-либо обнаруживаемых изменений меток времени или сбоев контрольной суммы. Это можно сделать даже наугад, что серьезно ставит под сомнение целостность данных отчетов Cellebrite.

Все эти найденные уязвимости могут стать большой проблемой для Cellebrite: и компания, и её клиенты рискуют нарваться на юридические проблемы.

Источник

Поделиться ссылкой:

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *