多年来,以色列数字取证公司Cellebrite帮助世界各地的政府和警察闯入被没收的手机,主要是通过利用设备制造商忽视的漏洞。现在,Moxie Marlinspike-Creator的信号消息传递应用程序 - 已经在Cellebrite上转动了表格。
周三,Marlinspike发布了一篇文章,这些帖子报告了Cellebrite软件中的漏洞,允许他在用于分析设备的Windows计算机上执行恶意代码。研究人员和软件工程师通过加载可以嵌入到设备上安装的任何应用程序的特殊格式格式的文件来利用漏洞。
“可以执行的代码几乎没有限制,”Marlinspike写道。
例如,通过包括Cellebrite扫描的设备上的应用程序中的特殊格式但其他否则的文件,可以执行修改的代码,而不仅仅是在该扫描中创建的Cellebrite报告,还可以生成所有之前和将来Cellebrite从所有先前扫描的设备和所有未来扫描设备的报告以任意方式(插入或删除文本,电子邮件,照片,联系人,文件或任何其他数据),没有可检测的时间戳更改或校验和故障。这甚至可以随机完成,并将严重调用Cellebrite报告的数据完整性。
Cellebrite提供了两个软件包:UFED通过锁和加密保护来收集删除或隐藏数据,并且单独的物理分析仪揭示数字证据(“跟踪事件”)。
要执行工作,两块Cellebrite软件必须解析分析设备上的各种不受信任的数据。通常,这种混杂的软件经过各种安全硬化,以检测和修复任何可能允许黑客执行恶意代码的内存损坏或解析漏洞。
虽然“看着UFED和物理分析仪,我们惊讶地发现很少的关心似乎已经给Cellebrite自己的软件安全性,”Marlinspike写道。 “行业 - 标准利用缓解防御缺失,并且存在许多利用机会。”
这种缺乏硬化的一个例子是包含称为FFMPEG的音频/视频转换软件的Windows DLL文件。该软件于2012年建于2012年,尚未更新。 Marlinspike表示,在九年中,FFMPEG已收到超过100个安全更新。捆绑在Cellebrite产品中的FFMPEG软件中没有任何修复程序都包含。
Marlinspike包括一个视频,该视频显示,因为它会解析他格式化的文件以在Windows设备上执行任意代码。有效载荷使用MessageBox Windows API来显示良性消息,但是Marlinspike表示“可以执行任何代码,并且真正的利用有效载荷可能会寻求无法检测到以前的报告,损害了未来报告的完整性(可能随机)妥协)或从Cellebrite机器中抵抗数据。“
我们的最新博客文章探讨了Cellebrite' S软件中的漏洞和可能的Apple版权违规行为:"从App&#39的透视&#34利用Cellebrite Ufed和物理分析仪的漏洞; https://t.co/dkggejpu62 pic.twitter.com/x3ghxrgdfo.
- 信号(@signalapp)4月21日,2021年4月21日
Marlinspike表示,他还发现了两个由Apple数字签名的MSI安装程序包,似乎已从Windows Installer中提取iTunes。如果包含构成违反Apple版权,Marlinspike受到质疑。 Apple Didn' T立即在询问此问题时立即提供评论。
在电子邮件中,一个Cellebrite代表写道:" Cellebrite致力于保护客户数据的完整性,我们不断审核和更新我们的软件,以便为我们的客户提供最佳的数字智能解决方案。&# 34;代表Didn' T表示公司工程师是否知道漏洞Marlinspike详细或者公司是否有权捆绑苹果软件。
Marlinspike表示,他在“真正令人难以置信的巧合”中获得了Cellebrite装备,因为他走路,“看到一个小包裹脱落了我的卡车。”这一事件似乎真的令人难以置信。 Marlinspike拒绝提供额外的详细信息,即他如何拥有Cellebrite工具。
在完全不相关的新闻中,即将推出的信号版本将定期获取文件到应用程序存储中的放置。这些文件永远不会用于内部信号中的任何内容,永不与信号软件或数据交互,但它们看起来很好,美学在软件中很重要。文件只会返回已在已有某段时间的活动安装的帐户返回,并且仅基于电话号码分片的低百分比概率。我们有一些不同的版本的文件,我们认为在美学上令人愉悦,并将迭代那些缓慢的时间。对这些文件没有其他重要意义。
漏洞可以为防御律师提供饲料,以挑战使用Cellebrite软件生成的法医报告的完整性。 Cellebrite代表没有回复一封询问他们是否了解漏洞或计划修复它们的电子邮件。
“我们当然愿意负责任地披露我们对Cellebrite的特定漏洞,如果他们对他们的身体提取和其他服务在各自的供应商中使用的所有漏洞,现在和将来都有相同的漏洞,”Marlinspike写道。
对我来说,显然,显然,没有Cellebrite客户在建造的设备上表现出肤浅的安全检查,以处理对调查的关键证据。这对他们的安全实践有何看法......