Технологии
Дамир Камалетдинов

Команда Signal рассказала об уязвимостях в Cellebrite — ПО, которое спецслужбы используют для взлома смартфонов

Cellebrite добавила поддержку файлов Signal в свои программы и ответ не заставил себя ждать.

В декабре 2020 года Cellebrite объявила о поддержке Signal — программное обеспечение компании научилось сканировать файлы мессенджера при создании цифрового «слепка» смартфона. В ответ на это специалисты Signal заполучили устройство Cellebrite, изучили его и опубликовали список уязвимостей в своём блоге.

Недавно я гулял и увидел, как передо мной из грузовика вывалился небольшой пакет. Чем ближе я подходил, тем виднее становилась надпись унылым корпоративным шрифтом: Cellebrite.

Внутри мы нашли последние версии ПО Cellebrite, аппаратные ключи для предотвращения пиратства (я думаю, это что-то говорит об их клиентах) и невероятное количество кабельных адаптеров.

из блога Signal

Что такое Cellebrite

Израильская компания известна тем, что поставила «на поток» взлом защиты смартфонов на iOS и Android для спецслужб и правоохранительных органов разных стран. Раньше Cellebrite просила отсылать устройства ей для взлома, но со временем выпустила программные продукты, которые анализируют разблокированные смартфоны.

Для обхода защиты смартфонов израильская компания использует в том числе незадокументированные уязвимости в iOS и Android. Cellebrite также выпускает некие устройства для взлома айфонов — их в 2018 году закупала ФСБ и СК РФ.

Какие уязвимости нашли в ПО Cellebrite

Компания известна по двум основным продуктам — UFED и Physical Analyzer, которые работают в связке. Первый создаёт резервную копию данных смартфона на Android или iOS, а второй обрабатывает файлы в более удобный для анализа формат.

Продукты Cellebrite — это как если бы кто-то физически держал ваш разблокированный смартфон у себя в руках и мог бы делать что угодно, в том числе заходить в приложения и делать скриншоты содержимого. Cellebrite просто автоматизирует этот процесс для тех, у кого ваше устройство.

из блога Signal

В Signal отметили, что главная задача Cellebrite — сбор «ненадёжных» данных самых разных форматов, которые используют приложения. Таким образом, всё, что показывает ПО компании, контролируется и генерируется программами, которые оно анализирует, а не «надёжным» источником. По словам специалистов, в этом случае Cellebrite не может делать выводы о «правильности» данных и появляется простор для уязвимостей.

Так как через программы проходит непроверенный код, который можно использовать для повреждения памяти, можно было бы ожидать, что Cellebrite будет крайне осторожна. Изучив обе программы, в Signal пришли к выводу, что компания почти не занималась безопасностью собственных продуктов.

Только в качестве одного примера специалисты привели библиотеки FFmpeg, которые позволяют записывать, конвертировать и передавать цифровые аудио и видео в разных форматах. В Cellebrite используют DLL-файлы, которые не обновляли с 2012 года — с тех пор вышли «сотни обновлений безопасности», отметили в Signal.

Обнаруженные уязвимости в FFmpeg в разные годы Изображение Signal

Как можно эксплуатировать уязвимости

Так как Cellebrite не проверяет файлы, которые собирает, их можно отформатировать таким образом, чтобы передать устройству с программой вредоносный код. Как отметили в Signal, нет практически никаких ограничений на код, который можно выполнить таким образом — достаточно безобидного файла в одном из приложений.

Программа оказалась настолько беззащитной, что лишь одним файлом можно повлиять не только на текущий отчёт, генерируемый Сellebrite, но и на все прошлые и будущие отчёты в программе. Например, можно вставлять или удалять текст, email, фотографии, контакты, файлы и любые данные без заметных изменений или сбоев в хеш-суммах.

Повлиять на результат можно было даже случайно. И это ставит под серьёзные сомнения правдивость данных Cellebrite.

из блога Signal

В качестве примера эксплуатации уязвимости в Signal опубликовали видео. На нём видно, как при создании резервной копии UFED может наткнуться на модифицированный файл и выдать произвольное сообщение вместо отчёта.

Видео Signal

Что ещё нашли в ПО Cellebrite

Судя по всему, израильская компания пренебрегла не только безопасностью, но и правилами о защите авторских прав. В Signal обнаружили, что установщик Physical Analyzer содержит два совмещённых MSI-пакета AppleApplicationsSupport64.msi и AppleMobileDeviceSupport6464.msi. Они содержат цифровую подпись Apple, и, похоже, были извлечены из Windows-установщика iTunes версии 12.9.0.167.

С помощью этих файлов Cellebrite взаимодействует с iOS-устройствами так же, как iTunes. Однако вряд ли Apple давала разрешение на использование своего ПО подобной компании, отметили в Signal. Из-за этого и Cellebrite, и её клиентам могут грозить юридические проблемы.

В Signal порекомендовали пользователям Cellebrite, среди которых большая часть — правоохранительные органы разных стран, пока не использовать программы компании. Ведь до исправлений уязвимостей она может выдавать попросту ложные данные.

Специалисты мессенджера заявили о готовности раскрыть все найденные уязвимости Cellebrite. Но только в том случае, если и израильская компания раскроет все уязвимости, которые использует для обхода защиты смартфонов.

#уязвимости #apple #android