Η ισραηλινή εταιρεία πληροφοριών Cellebrite είναι γνωστή για την πώληση λογισμικού (phone cracking), που έχει σχεδιαστεί για να ξεκλειδώνει τηλέφωνα και να αποκτά πρόσβαση στα δεδομένα τους. Ουσιαστικά, το λογισμικό αξιοποιεί ευπάθειες που έχουν παραβλέψει οι κατασκευαστές τηλεφώνων. Ως αποτέλεσμα, η αστυνομία και γενικά οι υπηρεσίες επιβολής του νόμου στις ΗΠΑ χρησιμοποιούν το λογισμικό της Cellebrite για να συλλέξουν στοιχεία από κατασχεθείσες συσκευές. Στο παρελθόν, η εταιρεία δέχθηκε κριτική για την προθυμία της να πουλήσει τα λογισμικά της σχεδόν σε οποιαδήποτε κυβέρνηση – συμπεριλαμβανομένων κατασταλτικών καθεστώτων. Ωστόσο, φαίνεται πως η Cellebrite ενδιαφέρεται περισσότερο για την παράκαμψη της ασφάλειας τηλεφώνων τρίτων και έχει αφήσει σε δεύτερη μοίρα την ασφάλεια του δικού της λογισμικού. Αυτό τουλάχιστον υποστηρίζει ο Moxie Marlinspike, δημιουργός και CEO της κρυπτογραφημένης υπηρεσίας Signal.
Δείτε επίσης: UK: Θα έχουν πρόσβαση οι αρχές σε υπηρεσίες μηνυμάτων του Facebook;
Σε ένα blog post που δημοσιεύτηκε την Τετάρτη, ο προγραμματιστής του Signal ισχυρίστηκε ότι το phone cracking λογισμικό της Cellebrite δεν είναι προστατευμένο σωστά και οποιοσδήποτε μπορεί εύκολα να το εκμεταλλευτεί.
“Ήμασταν έκπληκτοι όταν διαπιστώσαμε ότι πολύ λίγη φροντίδα έχει δοθεί στην ασφάλεια λογισμικού της Cellebrite. Λείπουν βασικές άμυνες και υπάρχουν πολλές ευκαιρίες για εκμετάλλευση“, γράφει ο Marlinspike.
Μεταξύ άλλων, ο προγραμματιστής του Signal λέει ότι λόγω των ευπαθειών ασφαλείας, θα μπορούσε να γίνει re-write όλων των δεδομένων που συλλέγονται από τα εργαλεία της Cellebrite. Υποθετικά, ένα ειδικά διαμορφωμένο αρχείο θα μπορούσε να μπει σε οποιαδήποτε εφαρμογή σε μια στοχευμένη συσκευή, επιτρέποντας την τροποποίηση όλων των δεδομένων που έχουν συλλεχθεί ή θα συλλεχθούν από το λογισμικό της Cellebrite.
Δείτε επίσης: Η Κίνα απαγορεύει την εφαρμογή Signal στη χώρα
Ένα τέτοιο αρχείο θα μπορούσε να αλλάξει τα δεδομένα “με οποιονδήποτε τρόπο (εισαγωγή ή αφαίρεση κειμένου, email, φωτογραφιών, επαφών, αρχείων ή άλλων δεδομένων), χωρίς ανιχνεύσιμες timestamp αλλαγές ή αστοχίες ελέγχου”, αναφέρει το blogpost. Συνεχίζει:
“Για παράδειγμα, συμπεριλαμβάνοντας ένα ειδικά διαμορφωμένο αλλά κατά τα άλλα αβλαβές αρχείο σε μια εφαρμογή, σε μια συσκευή που στη συνέχεια σαρώνεται από την Cellebrite, είναι δυνατή η εκτέλεση κώδικα που τροποποιεί όχι μόνο την αναφορά της Cellebrite που δημιουργείται σε αυτήν τη σάρωση, αλλά και όλες τις προηγούμενες και μελλοντικές αναφορές, από όλες τις προηγουμένως σαρωμένες συσκευές και όλες τις μελλοντικές σαρωμένες συσκευές με οποιονδήποτε τρόπο. Αυτό θα μπορούσε ακόμη και να γίνει τυχαία και θα αμφισβητούσε σοβαρά την ακεραιότητα των δεδομένων των αναφορών της Cellebrite“.
Επίσης, ο Moxie Marlinspike έκανε μια άλλη παρατήρηση. Ένας κώδικας που φαίνεται να είναι πνευματική ιδιοκτησία της Apple, εμφανίζεται στο λογισμικό της Cellebrite. Ο CEO του Signal λέει ότι αυτό “ενδέχεται να ενέχει νομικό κίνδυνο για την Cellebrite και τους χρήστες της“. Με άλλα λόγια, η Cellebrite μπορεί να πουλά κώδικα που ανήκει στον μεγαλύτερο αντίπαλό της.
Δείτε επίσης: WhatsApp Pink malware: Απαντά αυτόματα σε μηνύματά σας στο Signal, το Viber κι άλλα apps
Εάν όλοι αυτοί οι ισχυρισμοί είναι αληθείς, η Cellebrite ενδέχεται να έχει μεγάλα προβλήματα. Εάν είναι πραγματικά τόσο εύκολο για κάποιον να εισχωρήσει στο λογισμικό της εταιρείας και να αλλάξει τα δεδομένα που αξιοποιεί τελικά η αστυνομία, πόσο σίγουρες μπορούν να είναι οι αρχές ότι τα στοιχεία που συλλέγουν είναι πραγματικά σωστά; Και τι θα συμβεί στις περιπτώσεις που οι αρχές βασίστηκαν στο λογισμικό αυτό (που μπορεί να είχε παραβιαστεί) για να θεωρήσουν κάποιον ως κατηγορούμενο;
Φαίνεται ότι ο Marlinspike ανέφερε δημόσια αυτές τις ανησυχίες για την ασφάλεια, χωρίς να τις έχει προηγουμένως αναφέρει στην Cellebrite (όπως συνηθίζεται). Θα μπορούσε κάποιος να σκεφτεί, ότι ήταν μια σκληρή απάντηση στους πρόσφατους ισχυρισμούς της Cellebrite ότι μπορεί να σπάσει την κρυπτογράφηση του Signal.
Η Cellebrite έκανε το δικό της σχολιασμό μετά από αίτημα του Gizmodo: “Η Cellebrite επιτρέπει στους πελάτες να προστατεύουν και να σώζουν ζωές, να επιταχύνουν τη διαδικασία της δικαιοσύνης και να διατηρούν το απόρρητο σε νομικά εγκεκριμένες έρευνες. Έχουμε αυστηρές πολιτικές που διέπουν τον τρόπο με τον οποίο επιτρέπεται στους πελάτες να χρησιμοποιούν την τεχνολογία μας και δεν πουλάμε σε χώρες που έχουν δεχτεί κυρώσεις από τις ΗΠΑ, το Ισραήλ ή την ευρύτερη διεθνή κοινότητα. Η Cellebrite έχει δεσμευτεί να προστατεύει την ακεραιότητα των δεδομένων των πελατών και συνεχώς ελέγχει και ενημερώνει το λογισμικό της προκειμένου να εξοπλίσει τους πελάτες της με τις καλύτερες διαθέσιμες ψηφιακές λύσεις“.
Πηγή: Gizmodo