Signal mette in imbarazzo Cellebrite: gli strumenti che recuperano dati dagli smartphone hanno gravi problemi di sicurezza

Signal mette in imbarazzo Cellebrite: gli strumenti che recuperano dati dagli smartphone hanno gravi problemi di sicurezza

Gli strumenti più utilizzati dalle forze dell'ordine per recuperare dati e prove dagli smartphone, hanno gravi vulnerabilità che possono mettere a rischio l'attendibilità delle informazioni ricavate

di pubblicata il , alle 11:41 nel canale Sicurezza
Signal
 

Cellebrite è una società israeliana che realizza dispositivi per l'estrazione di dati da smartphone e che vengono spesso utilizzati dalle forze dell'ordine nel caso in cui debbano accedere ad informazioni utili per lo svolgimento di indagini. La società si trova ora al centro di una vicenda piuttosto imbarazzante: i suoi dispositivi sarebbero zeppi di vulnerabilità che possono essere sfruttate per compromettere non solo i report generati nell'analisi di uno smartphone, ma anche il PC a cui il sistema è collegato.

E' Moxie Marlinspike, CEO di Signal, a svelare il problema: "Includendo un file appositamente formattato, ma altrimento innocuo, in un'app su un dispositivo che viene analizzato da Cellebrite, è possibile eseguire codice che modifica non solo il report di Cellebrite creato per quell'analisi, ma anche tutti i report passati e futuri per tutti i dispositivi analizzati e in maniera arbitraria (inserendo o rimuovendo testo, e-mail, foto, contatti, file o qualsiasi altro dato), senza modifiche rilevabili del timestamp o errori di checksum".

Le vulnerabilità scoperte permetterebbero non solo di modificare i report prodotti dalle analisi dei dispositivi Cellebrite (minandone quindi l'attendibilità), ma anche di compromettere il sistema a cui il dispositivo è collegato con la possibilità di eseguire codice da remoto. "Non c'è limite" al codice che potrebbe essere eseguito, secondo quanto afferma il CEO di Signal che sottolinea come manchino le contromisure ai più comuni malware in circolazione.

Emerge quindi un approccio alla sicurezza decisamente lacunoso, laddove dovrebbe essere la priorità per strumenti di questo tipo proprio per evitare che possano essere sfruttati da hacker/malintenzionati/criminali per compiere le loro malefatte. Marlinspike cita, ad esempio, uno strumento software di conversione audio/video utilizzato nei sistemi Cellebrite rilasciato nel 2012. Da allora il software è stato oggetto di oltre 100 aggiornamenti di sicurezza, nessuno dei quali incluso nei prodotti di Cellebrite.

Secondo il CEO di Signal i problemi non sarebbero solo inerenti alla sicurezza, ma potrebbero essere anche legali: egli evidenzia infatti la presenza nei sistemi Cellebrite di due pacchetti firmati digitalmente da Apple e che paiono essere ricavati dall'installer di iTunes per Windows, nella versione 12.9.0.167 e che è improbabile che la Mela abbia concesso in licenza.

E' bene osservare che normalmente problemi di sicurezza di questo tipo, una volta scoperti, vengono rivelati privatamente alla parte interessata così che li possa risolvere, e solo successivamente viene fatta divulgazione pubblica. Signal ha forzato un po' la mano, e Marlinspike ha dichiarato: "Siamo ovviamente disposti a rivelare responsabilmente le vulnerabilità specifiche di cui siamo a conoscenza a Cellebrite, se loro fanno lo stesso per tutte le vulnerabilità che usano per l'estrazione di dati e per i servizi che rendono a terzi, ora e in futuro".

Oltre alla gravità della situazione, c'è un secondo aspetto meno immediato ma ugualmente sconcertante: fino ad ora, almeno secondo le informazioni ad oggi disponibili, nessuno si è mai preoccupato di verificare la sicurezza di un dispositivo che viene usato per recuperare prove chiave nel contesto di un'indagine.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s0nnyd3marco22 Aprile 2021, 12:19 #1
Chi di vulnerabilita' ferisce....
andbad22 Aprile 2021, 13:10 #2
Mi piace l'approccio del CEO di Signal ed ha fatto bene a smerdare pubblicamente prima che privatamente (nel caso specifico, ovvio): perché se loro hanno una vulnerabilità che usano per scopi anche "leciti" (per così dire) non significa che la stessa vulnerabilità non venga poi usata da altri per usi molto meno "leciti".

By(t)e

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^