Cellebrite attacca Signal, il creatore di Signal rende tossico Cellebrite

La sottile vendetta di un informatico.



[ZEUS News - www.zeusnews.it - 26-04-2021]

cellebrite cracked

Cellebrite è un'azienda israeliana che produce un programma di digital forensics, uno di quei software usati dalle forze di polizia di molti paesi per entrare nei telefonini degli indagati superandone le protezioni. Inevitabilmente è un programma che si presta ad abusi, perché nei regimi autoritari viene usato anche per violare i diritti dei dissidenti, degli attivisti e dei giornalisti o per perseguitare gruppi di persone che non piacciono al governo di turno.

Qualche tempo fa Cellebrite si è vantata di aver aggiunto al proprio software la capacità di acquisire dati da Signal. La cosa ha spaventato molti utenti, che usano legittimamente Signal (prodotto open source ed estremamente rispettoso e protettivo della privacy) al posto di WhatsApp o Telegram.

Moxie Marlinspike, uno dei creatori e gestori di Signal (insieme a Stuart Anderson), non l'ha presa bene e ha scritto un articolo in cui non solo fa a pezzi e ridimensiona le vanterie di Cellebrite, ma inserisce una trappola micidiale per l'azienda. Mai stuzzicare un informatico, specialmente uno che ci tiene molto alla difesa dei diritti umani. Se usate Signal, vi conviene leggere bene cosa ha scritto.

La prima cosa che Marlinspike chiarisce è che Cellebrite può agire soltanto sui dispositivi che gli inquirenti hanno fisicamente a propria disposizione: non fa intercettazione da remoto.

La prima parte del suo software, chiamata UFED, fa un backup dei dati del dispositivo usando le risorse di backup presenti su di esso (adb backup per Android e il backup di iTunes per iOS); la seconda, Physical Analyzer (PA), analizza i file di questo backup per presentarli in forma esplorabile.

Questo vuol dire che il software di Cellebrite estrae dati che sono untrusted: ossia sono generati e controllati dalle singole app presenti sul dispositivo. E questo a sua volta vuol dire che UFED e Physical Analyzer sono vulnerabili qualora quei dati siano formattati in modi inattesi. Marlinspike nota, per esempio, che UFED/PA includono una versione delle DLL di FFmpeg che è ferma al 2012. Cellebrite non ha introdotto nessuno degli oltre cento aggiornamenti di sicurezza usciti in questi anni.

Avete già intuito dove sta andando a parare questa osservazione: Marlinspike nota che è possibile eseguire codice arbitrario sul computer che fa girare il software di Cellebrite "semplicemente includendo un file appositamente formattato, ma per il resto innocuo, in qualunque app presente in un dispositivo che viene poi collegato a Cellebrite e scansionato."

Per esempio, basta includere nel dispositivo un file di questo genere per forzare Cellebrite a modificare non solo il report generato durante la scansione di quel dispositivo, ma anche tutti i report precedenti e futuri. Si possono aggiungere o togliere testi, mail, foto, contatti, file, eccetera, senza modifiche rilevabili dei timestamp e senza errori di checksum. In altre parole, qualunque report sarebbe invalidabile perché non darebbe alcuna garanzia di integrità dei dati raccolti.

Un file "tossico" del genere potrebbe trovarsi in qualunque app, e finché Cellebrite non sistema tutte le vulnerabilità del proprio software l'unica contromisura praticabile per non trovarsi con un'installazione alterata e inattendibile è non fare scansioni di dispositivi.

Marlinspike include nel suo articolo un video che dimostra cosa è possibile fare con questa tecnica. Questo è il fotogramma finale:

L'azienda che produce Signal, scrive Marlinspike, è disposta a rivelare responsabilmente le falle che ha scoperto nel software di Cellebrite se Cellebrite farà altrettanto per tutte le falle che usa per estrarre i dati eludendo le protezioni dei dispositivi. Touché.

Fra l'altro, nota Marlinspike, il software di Cellebrite (specificamente l'installer di Physical Analyzer) contiene due pacchetti firmati digitalmente da Apple che sembrano essere stati estratti dall'installer per Windows di iTunes. Probabilmente questa è una violazione di licenza che potrebbe avere conseguenze legali per Cellebrite e i suoi utenti.

Per finire, Marlinspike annuncia, "come notizia completamente slegata", che le future versioni di Signal includeranno dei file in più, che "non vengono usati mai per nulla in Signal... ma sono belli, e l'estetica nel software è importante".

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Il messenger approvato da Snowden
Come scambiare messaggi davvero privati fra Android e iOS
La classifica delle app di messaggistica meno insicure
Mobile forensics, tutte le tecniche

Commenti all'articolo (4)

Grande Moxie!!
13-5-2021 22:16

Mi sembra che un pochino si siano sovrastimati questi di Cellebrite, questo mi sembra un limite piuttosto grosso per un SW spione... Leggi tutto
1-5-2021 15:14

{murdock}
alle fake news di pseudo-aziende e' d'obbligo rispondere con i fatti :)
26-4-2021 16:12

Una bella arpionata,degna appunto di Marlinspike. 👍
26-4-2021 14:13

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come sarÓ il prossimo Pc che acquisterai?
Un desktop
Un notebook
Un netbook
Un tablet

Mostra i risultati (5900 voti)
Giugno 2022
Il sistema operativo open source che ridà vita ai vecchi smartphone
Adobe, prove di Photoshop gratuito per tutti
15 giugno, finisce l'era di Internet Explorer
Grave falla in Windows, occhio ai documenti di Word
Toyota: cartucce di idrogeno per alimentare auto, case, droni
Maggio 2022
La Rete esce da TIM: nasce la Open Access italiana
DuckDuckGo consente a Microsoft di tracciare gli utenti
Russi saccheggiano trattori ucraini, che vengono brickati da remoto
Necrofinanza e criptovalute: lo scoppio di Terra/Luna
Pwn2Own 2022, Windows 11 e Ubuntu cadono il primo giorno
Migliaia di siti sono keylogger nascosti
Radio a onde corte: davvero?
UE, tutte le chat saranno esaminate in cerca di pedopornografia
Le IA di Facebook e Twitter contro la disinformazione russa
Apple, Google e Microsoft svelano il sistema che eliminerà le password
Tutti gli Arretrati
Accadde oggi - 26 giugno


web metrics