Новости

Основатель Signal взломал ПО фирмы, помогающей полицейским по всему миру взламывать смартфоны

В течение многих лет израильская компания Cellebrite помогает правительствам и полицейским по всему миру извлекать данные с изъятых в рамках расследования мобильных телефонов. В основном это делается за счет уязвимостей. Однако теперь все изменилось. Сооснователь мессенджера Signal Мокси Марлинспайк нашел серьезные уязвимости самого ПО Cellebrite.

Мокси Марлинспайк рассказал в блоге Signal о найденных им уязвимостях в программном обеспечении Cellebrite, которые позволили ему выполнить вредоносный код на компьютере с Windows. Программист загружал специально отформатированные файлы, которые можно встроить в любое приложение, установленное на устройстве.

«Например, включив специально отформатированный, но в остальном безобидный файл в приложение на устройстве, которое сканируется Cellebrite, можно выполнить код, изменяющий не только отчет Cellebrite, но также все предыдущие и будущие отчеты Cellebrite со всех ранее сканированных устройствах в любом произвольном формате (вставлять или удалять текст, электронные письма, фотографии, контакты, файлы или любые другие данные), — пишет Марлинспайк. — Это могло быть сделано даже наугад, что серьезно поставило бы под сомнение целостность информации из отчетов Cellebrite».

Cellebrite предоставляет два пакета программного обеспечения: UFED взламывает блокировки и шифрование для сбора удаленных или скрытых данных, а Physical Analyzer обнаруживает цифровые доказательства (trace events), сообщает Ars Technica. Оба ПО анализируют все виды ненадежных данных, хранящихся на устройстве.

«Мы были удивлены, обнаружив, что безопасности программного обеспечения Cellebrite уделяется очень мало внимания, — продолжает Марлинспайк. — Отсутствуют стандартные средства защиты от эксплойтов, но есть много возможностей для использования».

Одним из примеров отсутствия защиты было включение файлов Windows DLL в программное обеспечение для преобразования аудио и видео, известное как FFmpeg. ПО было создано в 2012 году и с тех пор не обновлялось. По словам Марлинспайка, за прошедшие девять лет FFmpeg получило более 100 обновлений. Ни одно из этих исправлений не включено в ПО FFmpeg, входящее в число продуктов Cellebrite.

Марлинспайк также обнаружил два установочных пакета MSI, принадлежащих Apple и, по-видимому, извлеченных из установщика Windows для iTunes. Программист спросил Apple, не является ли это нарушением авторских прав компании. В Apple пока не прокомментировали ситуацию.

В электронном письме представитель Cellebrite сообщил: «Cellebrite обязуется защищать целостность данных наших клиентов, и мы постоянно проверяем и обновляем наше программное обеспечение, чтобы обеспечить наших клиентов лучшими доступными решениями в области цифрового интеллекта».

В Cellebrite не ответили, знали ли ее инженеры об уязвимостях, подробно описанных Марлинспайком, и имела ли компания разрешение на использование программного обеспечения Apple. Марлинспайк отказался предоставить дополнительную информацию о том, как именно он получил инструменты Cellebrite.

Найденные уязвимости могут стать поводом для адвокатов оспорить целостность судебно-медицинских отчетов, созданных с помощью программного обеспечения Cellebrite.