Signal hackera Cellebrite: ultimatum al software di spionaggio
Il team di Moxie Marlinspike, fondatore di Signal, ha analizzato un software che la polizia usa per crackare il tuo smartphone, trovando falle di sicurezza e tattiche potenzialmente illegali.
È caduto da un camion: questo è ciò che sostiene il fondatore di Signal e White Hat Hacker Moxie Marlinspike in un post sul blog del suo messenger Signal (Google Android e Apple iOS). Parla di un kit di analisi del produttore di software Cellebrite e fa abbastanza scalpore. Moxie e il suo team hanno analizzato il software.
Nel processo, hanno identificato importanti lacune nella sicurezza. Ora Signal minaccia di sfruttare attivamente queste falle.
Software spia per la polizia
Cellebrite è una società israeliana di software con sede a Petah Tikva. L'azienda, fondata nel 1999 da Avi Yablonka, Yaron Baratz e Yuval Aflalo, è specializzata nel monitoraggio dei dispositivi mobili. I loro pacchetti software chiamati «Physical Analyzer» e «UFED» sono utilizzati dalle forze di polizia e dai governi di tutto il mondo. Pubblicamente, questo software non è disponibile, almeno teoricamente, e il suo esatto funzionamento non è spiegato da nessuna parte.
Physical Analyzer e UFED sono utilizzati per estrarre i dati dagli smartphone e rovistarli.
Perché questo accada, ha detto Moxie Marlinspike, l'utente Cellebrite deve avere fisicamente lo smartphone del bersaglio nelle sue mani. È impossibile accedere ai dati tramite Internet o reti wireless con i prodotti Cellebrite.
«La loro lista di clienti include regimi autoritari in Bielorussia, Russia, Venezuela e Cina, squadroni della morte in Bangladesh, giunte militari in Myanmar e in Turchia, Emirati Arabi Uniti e altrove che vogliono abusare e opprimere il proprio popolo», scrive Moxie.
Il fornitore israeliano ha anche annunciato qualche mese fa che Signal sarà supportato da Cellebrite. Moxie spiega che questo non significa che Cellebrite abbia rotto la crittografia di Signal. La funzione descrive semplicemente il processo «apri app, visualizza messaggi», che era automatizzato da Cellebrite e richiedeva uno smartphone sbloccato.
Cellebrite hack: un piccolo glossario
Per capire cosa ha fatto esattamente Moxie Marlinspike, e perché nessun sistema legale può o dovrebbe usare il software di Cellebrite per provare un caso, è necessario capire alcuni termini e concetti.
UFED
UFED è un programma di Cellebrite. Si suppone che sia in grado di bypassare «legalmente» PIN, modelli e password di smartphone bloccati. Diversi meccanismi di raccolta dei dati sono progettati per contestualizzare i dati «legittimamente» estratti per ottenere ancora di più dalle prove. A tal fine, UFED dovrebbe essere in grado di accedere «legalmente» a un massimo di 40 applicazioni. Nella sua funzione di base, si può pensare a un software di backup. Per Cellebrite è importante che tu sappia che tutto quello che fanno è legale.
UFED viene consegnato pre-installato su un portatile Panasonic ruggedized su richiesta. Questo permette lo spillaggio di dati in movimento.
Physical Analyzer
Physical Analyzer è un programma di Cellebrite. Decodifica i dati estratti da UFED e li presenta visivamente. Moxie lo descrive come un'«interpretazione visiva di adb backup», cioè una rappresentazione ben presentata di un backup. Per fare questo, Physical Analyzer deve essere in grado di leggere i dati dal tuo smartphone, cioè deve avere accesso in lettura. L'accesso in scrittura non è obbligatorio, ma è comunque incluso.
Su richiesta, Physical Analyzer viene consegnato pre-installato su una workstation appositamente ottimizzata per il programma. Questo dovrebbe accelerare l'elaborazione dei dati crackati da UFED.
UFED e Physical Analyzer sono spesso venduti come pacchetto. È raro che un governo o un regime ordini UFED senza Physical Analyzer e viceversa. Si può pensare che sia un po' come la suite Microsoft Office dei software di spionaggio.
ffmpeg
ffmpeg è un software open source. Dalla sua creazione nel 2000, ffmpeg è stato sviluppato ulteriormente e utilizzato in decine di progetti da altri fornitori di software. ffmpeg può convertire video, tagliarli, cambiare il suono e molto altro.
Nei circoli della sicurezza informatica, ffmpeg è noto per aver comunicato apertamente molte vulnerabilità e per averle risolte in modo tempestivo. Il fatto che ci siano molte vulnerabilità non significa che il software sia insicuro. Non necessariamente. Questo è dovuto anche al fatto che il team di ffmpeg è attivo e trasparente.
Come mostra la lista di vulnerabilità MITRE, ci sono 355 vulnerabilità pubblicamente note fino ad oggi. Di regola, sono tutte tappate. La regola generale è: se usi ffmpeg, mantieni il software aggiornato.
Arbitrary Code Execution
Arbitrary Code Execution, a volte chiamato Arbitrary Code Injection, è una tecnica utilizzata dagli hacker. Sfruttando una vulnerabilità, un hacker può far sì che un programma esegua un codice arbitrario. Il codice può fare qualsiasi cosa, dalla visualizzazione di un messaggio di errore alla raccolta di password e informazioni sulla carta di credito.
Questo codice arbitrario è chiamato anche «codice specifico». È formattato, nel gergo, in «modo inaspettato». Questo significa che il software vulnerabile riceve un input che non può gestire e reagisce inaspettatamente. Un esempio: digitando il codice in una casella di ricerca, si può provocare un messaggio di errore.
Trusted/Untrusted sources
Trusted e untrusted sources (fonti fidate e non fidate) descrivono un concetto nella comunicazione del software. Quando il software A parla con il software B, ci deve essere una relazione di fiducia. Fondamentalmente, i programmi sono d'accordo sull'affermazione «Sì, mi fido di te per non fare sciocchezze con i miei dati».
È possibile che il software A dia dati a un programma di cui non si fida. Quindi si parla di «untrusted sources».
Il concetto di fonti fidate/non fidate è usato prevalentemente nel contesto degli smartphone. Quando si installa un'app che proviene dall'App Store, proviene da una fonte affidabile. Se la installi manualmente o tramite App Store di terze parti, allora la fonte non è affidabile.
Il software di solito impedisce la comunicazione con fonti non fidate, a meno che l'utente non permetta esplicitamente la comunicazione.
Le vulnerabilità nel software di Cellebrite
L'indagine di Moxie ha trovato una varietà di vulnerabilità. Ci sono due ragioni per questo:
- Cellebrite non sembra preoccuparsi molto della sicurezza del proprio software.
- Il software di Cellebrite è classificato come «non fidato» da tutti i dispositivi e programmi. Perché anche come concetto di base, UFED e Physical Analyzer devono funzionare come «untrusted». Nessun produttore di smartphone prevede il modo in cui funzionano i prodotti Cellebrite, perché i backup non autorizzati e la decrittazione non vengono incorporati né in iOS di Apple né in Android di Google dall'inventore.
«Praticamente tutto il codice di Cellebrite esiste per gestire input non fidati», scrive Moxie.
Il fatto stesso che il software sia ritenuto inaffidabile romperebbe il collo a Cellebrite a livello legale. Perché se il metodo di estrazione dei dati è «inaffidabile», allora non ci si può fidare neanche dei risultati. Infatti, nel contesto di una prova solida, l'integrità di tale prova è di fondamentale importanza.
Tale software dovrebbe dunque essere mantenuto sempre aggiornato se si vuole ottenere la massima integrità dei dati. Ma Moxie ha scoperto componenti ffmpeg del 2012 nel codice. Questo ha già aperto la porta a tutti i tipi di trucchi con l'uscita dati di Cellebrite.
Cellebrite ruba da Apple
Il team di Signal ha, inoltre, scoperto che i file chiamati AppleApplicationsSupport64.msi e AppleMobileDeviceSupport6464.msi sono inclusi nella suite Cellebrite. L'azienda israeliana li aveva presi da Windows Installer della versione 12.9.0.167 di iTunes dell'anno 2018.
Cellebrite non può farlo.
Apple certifica i suoi dati e le persone che sono autorizzate a trattare tali dati, e stabilisce anche in quale contesto ciò può avvenire. Seguendo la posizione generale di Apple sulla privacy, si può supporre che Cellebrite abbia usato questi file senza permesso. Come il sito web di Cellebrite spesso ama farti sapere, la parola «legittimo» è importante per Cellebrite.
Questo potrebbe avere conseguenze se Apple dovesse intraprendere un'azione legale contro Cellebrite.
Moxie distrugge Cellebrite
Moxie ha trovato almeno una vulnerabilità classificata come «arbitrary code execution». Se un hacker scopre una tale vulnerabilità, si ritroverebbe una varietà di opzioni aperte.
Moxie è riuscito ad automatizzare questo processo nel contesto del software di Cellebrite. Quando Physical Analyzer e UFED si confrontano con un file contenente codice arbitrario, il software di Cellebrite interpreta semplicemente quel codice. Questo file può essere incluso in qualsiasi applicazione.
Ancora peggio: Moxie può manipolare tutti i rapporti del software Cellebrite con un solo file. Quindi non solo il rapporto a cui il file appartiene, ma anche tutti i rapporti precedenti e futuri. E senza innescare alcuna irregolarità nel controllo di integrità. Il risultato: Moxie ha trovato un modo per scrivere dati su UFED e Physical Analyzer. Questo distrugge la funzionalità del software.
In un video, Moxie mostra come produce un messaggio di errore da Cellebrite come parte di una normale scansione che gli mostra una citazione dal film «Hackers».
La conclusione di Moxie: se gli utenti di Cellebrite vogliono fare affidamento sui risultati delle loro scansioni, allora non è consigliabile farlo con Cellebrite.
Signal vuole aiutare Cellebrite
Poiché Moxie Marlinspike e Signal si vedono dalla parte dei White Hat Hacker, si vedono anche al comando. Vogliono aiutare i produttori a riparare e migliorare i loro software. Questo vale anche se si tratta di un software che porta sofferenza e morte.
Ma Signal offre la sua assistenza solo a una condizione: «Naturalmente siamo disposti a mostrare a Cellebrite le vulnerabilità specifiche nel loro software, a condizione che Cellebrite dica a tutti i fornitori di software quali vulnerabilità sfruttano quando analizzano gli smartphone. Questo è ciò che Cellebrite deve fare oggi e continuare a fare in futuro».
Inoltre, e «completamente estraneo» a questa questione, Moxie ha annunciato che Signal sarà presto abbellito con file estetici. Questi file non sono destinati a interagire con la funzionalità o qualsiasi altra cosa nell'app Signal e sono solo per la bellezza dell'app. Signal annuncia persino file multipli, fondamentalmente diversi, da distribuire in modo casuale nelle installazioni delle app. Ma sono tutti, ci assicura Moxie, belli. «L'estetica del software è importante», scrive Moxie. In particolare, si suppone che Signal avrà presto il file pre-installato per corrompere Cellebrite.
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
