2021-04-21 23:52:31
Исследователи из команды Signal нашли уязвимость в утилите Cellebrite, использующейся для выкачивания данных из мобильных устройств при их изъятииCellebrite производит программное обеспечение для автоматизации физического извлечения и индексирования данных с изъятых мобильных устройств. Они существуют в серой зоне, которую можно назвать "цифровой разведкой". В список их клиентов входят представители авторитарных режимов в Беларуси, России, Венесуэле и Китае, "эскадроны смерти" в Бангладеше, военные хунты в Мьянме, силовики Турции, ОАЭ и других стран. Несколько месяцев назад они объявили, что добавили в свое программное обеспечение поддержку Signal.
Их продукты часто связывают с преследованием и арестами журналистов и активистов по всему миру, но мало написано о том, что их программы на самом деле делают и как они работают. В частности, софт Cellebrite часто ассоциируется с обходом безопасности, но интересно уделить некоторое время изучению безопасности их собственных программ.
Во-первых, Cellebrite вступает в игру только с момента когда кто-то другой уже держит ваше устройство в руках. Cellebrite не осуществляет перехвата данных или удаленного наблюдения. Их программное обеспечение состоит из двух частей (обе для Windows): UFED и физический анализатор.
UFED создает резервную копию вашего устройства на машине под управлением Windows. После создания резервной копии, физический анализатор разбирает файлы из резервной копии, чтобы отобразить данные в просматриваемом виде.
Когда Cellebrite объявили, что они добавили поддержку Signal в свое программное обеспечение, это означало, что они добавили поддержку физического анализатора для форматов файлов, поддерживаемых Signal. Это позволяет физическому анализатору отображать данные Signal, которые были извлечены из разблокированного устройства, находящегося в физическом владении пользователя Cellebrite.
Если кто-то физически держит в руках ваше разблокированное устройство, то он может открыть любое приложение и сделать скриншоты всего, что в нем есть, чтобы сохранить и просмотреть их позже. Cellebrite, по сути, автоматизирует этот процесс.
Любой, кто знаком с программной безопасностью, сразу поймет, что основной задачей программного обеспечения Cellebrite является анализ "недоверенных" данных из самых разных форматов, используемых различными приложениями. То есть, данные, которые программное обеспечение Cellebrite должно извлекать и отображать, в конечном счете, генерируются и контролируются приложениями на устройстве, а не "доверенным" источником, поэтому Cellebrite не может делать никаких предположений о "правильности" форматированных данных, которые он получает. Это пространство, в котором возникают практически все уязвимости безопасности.
Можно ожидать, что Cellebrite чрезвычайно внимательны к безопасности. Однако, глядя и на UFED, и на физический анализатор, команда Signal была удивлена, обнаружив, что, Cellebrite фактически не уделяет внимания безопасности собственного программного обеспечения Cellebrite. Отраслевые стандарты защиты от эксплойтов отсутствуют, и есть много возможностей для эксплуатации уязвимостей.
Исследователи из Signal обнаружили, что можно заставить машину Cellebrite выполнить произвольные команды просто вставив специально отформатированный, но в остальном безобидный файл в любое приложение на устройстве, которое впоследствии подключается к Cellebrite и сканируется. Ограничений на код, который может быть выполнен, практически нет.
Например, вставив такой специальным образом отформатированный, но выглядящий безобидным файл в приложение на устройстве, которое затем сканируется Cellebrite, можно выполнить код, который модифицирует не только созданный в этом сканировании отчет, но и
все предыдущие и будущие сгенерированные отчеты Cellebrite со всех ранее отсканированных устройств и всех будущих сканируемых устройств любым произвольным способом (вставляя или удаляя текст, электронную почту, фотографии, контакты, файлы или любые другие данные), без каких-либо обнаруживаемых изменений временных меток или сбоев контрольной суммы.
Подробнее — тут
1.7K viewsedited 20:52