Создатель и CEO защищённого мессенджера Signal Мокси Марлинспайк рассказал о критических уязвимостях в программном обеспечении Cellebrite. В прошлом году израильская компания, среди клиентов которой Марлинспайк упомянул «авторитарные режимы Беларуси, России, Венесуэлы и Китая», заявила, что умеет получать доступ ко всем данным Signal.
Создатель и CEO защищённого мессенджера Signal Мокси Марлинспайк рассказал о критических уязвимостях в программном обеспечении Cellebrite. В прошлом году израильская компания, среди клиентов которой Марлинспайк упомянул «авторитарные режимы Беларуси, России, Венесуэлы и Китая», заявила, что умеет получать доступ ко всем данным Signal.
Cellebrite утверждает, что вершит справедливость, помогая правоохранителям взламывать смартфоны через необнародованные уязвимости. Очевидно, такие дела очень не нравятся Марлинспайку и его команде: вместо того, чтобы по принятой в ИТ-сообществе схеме уведомить о находках разработчика, они решили расквитаться с Cellebrite, публично расписав все её грехи в блоге и подкрепив пост видеороликом эксплойта.
«Мы, конечно же, со всей ответственностью сообщим Cellebrite о конкретных известных нам уязвимостях, если они будут так же поступать со всеми другими поставщиками, чьи уязвимости используют в своих инструментах для физического извлечения данных и прочих сервисах — сейчас и в дальнейшем», — отметил Марлинспайк.
Our latest blog post explores vulnerabilities and possible Apple copyright violations in Cellebrite’s software:
— Signal (@signalapp) April 21, 2021
«Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app’s perspective»https://t.co/DKgGejPu62 pic.twitter.com/X3ghXrgdfo
Фаундер Signal продемонстрировал уязвимости, которые позволяют запустить произвольный код на компьютере под управлением Windows, используемом для анализа устройств. Так, с помощью одного особым образом отформатированного файла, который внедряется в приложение на сканируемом устройстве, можно модифицировать прошлые и будущие отчёты инструментов-анализаторов — например, вставлять или удалять текст, почтовые адреса, фото, контакты и другие данные, не оставляя за собой следов вмешательства.
Команда Signal говорит, что была удивлена невнимательностью компании к защите собственного ПО, которое не удовлетворяет общепринятым стандартам предотвращения атак через эксплойты и открывает массу возможностей для их использования.
Как пишет Марлинспайк, в инструментах Cellebrite используются устаревшие DLL-файлы пакета FFmpeg для обработки видео- и аудиофайлов, которые были созданы в 2012 году и с тех пор не обновлялись. За девять лет FFmpeg получил более сотни исправлений безопасности, которые Cellebrite полностью проигнорировала.
Помимо этого, разработчики Signal обнаружили в израильском софте несколько нарушений авторских прав Apple.
Представители Cellebrite в комментарии Ars Technica отметили, что старательно защищают целостность данных своих клиентов, а также регулярно проверяют и повышают качество своего ПО, чтобы предоставлять им лучшие на рынке решения для извлечения цифровых данных.
В прошлом месяце компания объявила о прекращении сотрудничества с Беларусью.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.