Vulnerabilidades de seguridad en Cellebrite – Schneier on Security


Vulnerabilidades de seguridad en Cellebrite

Moxie Marlinspike tiene un intrigante entrada en el web site acerca de Cellebrite, una herramienta utilizada por la policía y otros para ingresar a los teléfonos inteligentes. Moxie puso sus manos en uno de los dispositivos, que parece ser un par de paquetes de software program de Windows y muchos cables de conexión.

Según Moxie, el program está plagado de vulnerabilidades. (El único ejemplo que da es que united states DLL FFmpeg de 2012, y no se le han aplicado las más de 100 actualizaciones de seguridad desde entonces).

… descubrimos que es posible ejecutar código arbitrario en una máquina Cellebrite simplemente al incluir un archivo especialmente formateado pero por lo demás inofensivo en cualquier aplicación de un dispositivo que posteriormente se conecta a Cellebrite y se escanea. Prácticamente no hay límites en el código que se puede ejecutar.

Esto significa que Cellebrite tiene uno, o muchos, errores de ejecución de código remoto, y que un archivo especialmente diseñado en el teléfono de destino puede infectar Cellebrite.

Por ejemplo, al incluir un archivo especialmente formateado pero por lo demás inocuo en una aplicación en un dispositivo que luego es escaneado por Cellebrite, es posible ejecutar código que modifica no solo el informe de Cellebrite que se crea en ese escaneo, sino también todas las Cellebrite generadas anteriormente y en el futuro informes de todos los dispositivos escaneados previamente y todos los dispositivos escaneados en el futuro de cualquier manera arbitraria (insertando o eliminando texto, correo electrónico, fotos, contactos, archivos o cualquier otro dato), sin cambios detectables en la marca de tiempo o fallas en la suma de verificación. Esto incluso podría hacerse al azar, y seriamente cuestionaría la integridad de los datos de los informes de Cellebrite.

Ese archivo malicioso podría, por ejemplo, insertar evidencia fabricada o alterar sutilmente la evidencia que copia de un teléfono. Incluso podría escribir esa evidencia fabricada / alterada en el teléfono para que, a partir de ese momento, incluso una versión no corrupta de Cellebrite encuentre la evidencia alterada en ese teléfono.

Finalmente, Moxie sugiere que las versiones futuras de Sign incluirán dicho archivo, a veces:

Los archivos solo se devolverán para las cuentas que hayan sido instalaciones activas durante algún tiempo, y solo de manera probabilística en porcentajes bajos según la fragmentación del número de teléfono.

La thought, por supuesto, es que un acusado que enfrenta pruebas de Cellebrite en la corte puede afirmar que las pruebas están contaminadas.

No tengo thought de cuán efectivo sería esto en los tribunales. O si esto va en contra de la Ley de Abuso y Fraude Informático en los EE. UU. (¿Está bien usar una trampa explosiva en su teléfono?) Un colega del Reino Unido dice que esto no sería lawful bajo la Ley de Uso Indebido de Computadoras, aunque es difícil culpar al propietario del teléfono si ni siquiera sabe que está sucediendo.

Publicado el 27 de abril de 2021 a las 6:57 a.m. •
1 comentarios



Enlace a la noticia first