Dostarczają narzędzia do hakowania, a sami padli ofiarą ataku - Cellebrite na celowniku Signal

... właściwie zabezpieczyć swojego oprogramowania przed „hakerami”. A przynajmniej tak sugeruje Moxie Marlinspike, założyciel komunikatora Signal, który bardzo wymowny wpis: - Byliśmy bardzo zaskoczeni, jak mało uwagi Cellebrite poświęciło kwestii własnego bezpieczeństwa. Brakuje będących branżowym standardem zabezpieczeń, a obecnych jest wiele możliwości do nadużyć - czytamy. Moxie Marlinspike tłumaczy, że możliwa jest potajemna zmiana wszystkich przeszłych i przyszłych danych zebranych przez narzędzia Cellebrite za pomocą specjalnie skonfigurowanego pliku, np. w aplikacji Signal. Taki plik jest w stanie sprawić, że oprogramowanie firmy staje się bezużyteczne, bo może aktywnie wpływać na dane wcześniej wyciągnięte ze skonfiskowanych smartfonów.

- Gdyby dodali taki plik do komunikator Signal, to byłoby ciekawe… i tak, oznaczałoby to, że prawdopodobnie mogliby wysadzić/zhakować/zainfekować Cellebrite - tłumaczy twórca strony Mac security i narzędzia Objective-See. Serwis Mashable postanowił skontaktować się z Cellebrite, żeby zapytać firmę, czy w związku z tym traktuje teraz smartfony z komunikatorem Signal za zagrożenie. - Cellebrite poświęca się ochronie integralności danych klientów i nieustannie sprawdzamy i aktualizujemy nasze oprogramowanie, żeby wyposażyć klientów w najnowsze cyfrowe oprogramowanie bezpieczeństwa, jakie jest dostępne - tak brzmiała odpowiedź, która nie da się ukryć jest dość wymijająca.

Niemniej sprawa jest bardzo poważna, a Moxie Marlinspike ma na wszystko dowody. We wspomnianym wpisie na blogu Signal umieścił filmik, w którym przewijają się sceny z filmu Hakerzy z 1995 roku, ale na którym można przede wszystkim zobaczyć wykorzystanie jednej potencjalnej luki. Wszystko w celach pokazowych, dlatego też na urządzeniu korzystającym z oprogramowania Cellebrite pojawił się komunikat, a jakże… słynny dialog z filmu Hakerzy: - MESS WITH THE BEST, DIE LIKE THE REST. HACK THE PLANET! Oczywiście, gdyby chodziło o realny atak, nie byłoby żadnego komunikatu, a użytkownik nie miałby nawet pojęcia, że ktoś ma dostęp do jego urządzenia.

- Każda aplikacja może zawierać taki plik i dopóki Cellebrite nie będzie w stanie dokładnie naprawić wszystkich podatności w swoim oprogramowaniu z należytą dokładnością, jedynym zaleceniem dla użytkowników Cellebrite jest nie używać go do skanowania urządzeń - dodaje. Dan Tentler z zajmującej się bezpieczeństwem firmy Phobos Group wyjaśnia zaś, że odkrycie to oznacza, że korzystanie z oprogramowania Cellebrite przez rządowe agencje jest obecnie wysoce ryzykowne, bo wystarczy jedno urządzenie z takim sprytnym plikiem, aby zainfekować i narazić wszystkie elementy platformy Cellebrite. Szczególnie że Moxie Marlinspike zapowiedział już, że przyszłe wersje Signal mogą zawierać taki plik - oczywiście, najpewniej chodzi tylko o formę postraszenia Cellebrite, które jakiś czas temu pochwaliło się dodaniem tego komunikatora do swojej oferty (tj. możliwości jego hakowania) i wskazania problemu, ale trudno powiedzieć, co przyniesie przyszłość.

Źródło: GeekWeek.pl/mashable