我有很多关于信号的Cellebrite黑客
首页»博客»我有很多关于信号的Cellebrite黑客
本博客帖子基于谈话,我在2021年5月12日在斯坦福大学计算机科学部门的每周午餐谈话系列上提供了一个关于计算机安全主题的谈话。全面披露:我已经完成了一些咨询工作的信号,尽管没有像这个问题的任何东西。 (尽管如此,我有点怀疑他们会再次雇用我。)
您可能在最近在最近在以色列公司Cellebrete制作的数字取证工具中发现的漏洞中的新闻中的故事。 Cellebrite' S软件从移动设备中提取数据并生成关于提取的报告。它&#39流行了执法机构,作为从监护权中收集智能手机的数字证据的工具。
4月,流行的端到端加密(E2EE)聊天App信号的团队发布了一个博客文章,详细说明了他们如何获得Cellebrite设备,分析了软件,发现漏洞将允许设备的任意代码执行与Cellebrebite工具扫描的那个&#39。
由于博客邮政指出的覆盖范围,漏洞仍然存在Cellebrite'毕竟在刑事诉讼中可靠。虽然Cellebrite从采取措施减轻漏洞,而且已经在至少一个刑事案件中提出了一项新的审判,而是在信号'博客文章的基础上进行了一项新的试验。
这是可能成功的动作吗?在法庭案件中,信号的可能影响是什么?我认为对现有案件的影响将是可以忽略不计的,但该信号已经提出了一个重要的观点,这可能有助于推动移动设备取证行业对其经常邋的产品安全性的更大责任。尽管如此,我也有一个凸起的眉毛。
Cellebrite是一个以色列公司,每个信号的博客文章,“使软件能够自动化与移动设备的物理提取和索引数据。”在美国在美国的常见用例是由执法在刑事调查中使用,通常在第四修正案下有一个允许他们搜索某人的电话并从中扣押数据。
Cellebrite的产品是“移动设备取证”工具的一部分。 “移动取证过程旨在以一种将在令人遗症的声音条件下保存证据的方式从移动设备中恢复数字证据或相关数据,”可以在法庭上呈现它。
在Cellebrite和移动设备取证工具行业的其他供应商之间,全国各地有两千多个执法机构,其中有这样的工具 - 包括美国50个最大城市中的49个,冰与Cellebrite的合同价值数十数百万美元。
但除了美国执法机构外,Cellebrite还有很多客户。其中一些并不那么好。作为信号的博客帖子票据,“他们的客户名单包括白俄罗斯,俄罗斯,委内瑞拉和中国的威权制度;孟加拉国死亡小队;缅甸军人军官;和那些寻求滥用和压迫土耳其,阿联酋和其他地方的人。“
这些工具的供应商喜欢起床,并谈谈它们是如何成为“好人”的方式,他们有助于让世界远离犯罪分子和恐怖分子。是的,肯定,罚款。但这一行业的许多供应商,销售监测技术的行业,不仅向美国和其他尊重法治的国家和其他国家而销售,而且还向抑制自己的人民的抑制政府,其中的定义是“犯罪“可能只是意味着同性恋或批评政府。像Cellebrete这样的公司愿意向令人讨厌的政府出售的公司是为什么人权领导者和团体呼吁全球暂停销售各种监测工具的暂停。
Cellebrite有一些不同的产品,但此处相关,在游戏中有一个两部分系统:第一部分,称为UFED(代表通用法医提取设备),从移动设备中提取数据并将其返回到a Windows PC和第二部分,称为物理分析仪,解析和索引数据,因此可以搜索。因此,取出原始数据,然后将其转化为适用于用户的东西,全部以法学的声音方式。
作为信号的博客帖子解释说,这两个部件系统需要对手机进行物理访问;这些不是远程访问某人的手机的工具。此处提取的那种提取(“逻辑提取”)要求设备解锁和打开。 (逻辑提取更快,更容易,但也比更深的但更具挑战性的提取类型更容易,而且更具挑战性的萃取类型,它可以在锁定装置上工作,但没有100%的可靠性。加上,逻辑提取赢得了t恢复删除或隐藏文件,与物理提取不同。)随着博客帖子所说的,以这种方式想到它:“如果有人在他们手中物理地拿着你的解锁设备,他们可以打开他们想要的任何应用程序并拍摄一切屏幕截图在他们稍后保存并过来。 Cellebrite基本上自动化那个过程,为持有你的设备在手中的某人。“
另外,与一些警察截图不同,逻辑数据提取在法庭上以法院禁止禁止受理的原始状态,以逻辑数据提取保留回收的数据。为什么表明数据被提取并保存而不改变任何东西?因为这是满足法院录取证据的规则所必需的。美国法院有规则,以确保提出的证据是可靠的 - 您不想根据其内容或元数据损坏的文件定罪或获取某人。 Cellebrite持有本身就像满足美国法院要求数字取证的标准一样。
但是,显示的是Cellebrite工具实际上具有真正伪劣的安全性,除非问题是固定的,否则允许软件在分析电话时在报告中更改数据。在Cellebre系统中展示缺陷调用质疑提取的数据的完整性和可靠性以及关于提取生成的报告的完整性和可靠性。
这破坏了这些工具存在的整个原因:编制数字证据,这些证据是在法庭案件中被承认和依赖的声音。
如背景:去年年底,Cellebrite宣布他们的工具(物理分析仪工具)可以用于从解锁的Android手机中提取信号数据。信号不高兴。
显然是报复,信号击中。作为上个月的博客文章,信号创建者Moxie Marlinspike和他的团队获得了Cellebrite套件(他们是关于他们如何得到它的Coy),分析了该软件,发现漏洞允许由&#39的设备进行任意代码执行;扫描Cellebrite工具。根据博客帖子:
看着UFED和物理分析仪,......我们惊讶地发现很少的关心似乎已经给Cellebrite自己的软件安全性。缺少行业标准利用缓解防御,并且存在许多利用机会。 ......
“[W] E发现它可以通过在随后插入Cellebrite并扫描的设备上的任何应用程序中包括特殊格式但其他的文件中的特殊格式但是无害的文件,可以在Cellebrite机器上执行任意代码。可以执行的代码几乎没有限制。
“例如,通过包括Cellebrite扫描的设备上的应用程序中的一个特殊格式化但否则无害的文件,可以执行修改的代码,而不仅仅是在该扫描中创建的CelleBrite报告,还可以生成来自所有先前扫描设备的Cellebrite报告和所有未来的扫描设备以任意方式(插入或删除文本,电子邮件,照片,联系人,文件或任何其他数据),没有可检测的时间戳变更或校验和故障。这甚至可以随机完成,并将严重调用Cellebrite报告的数据完整性。
信号还创建了一个视频演示,以显示他们的概念证明(PoC),您可以在博客文章中观看或其推文。他们总结了视频中描绘的内容:
[此]是用于UFED的漏洞利用的示例视频(物理分析仪存在类似的利用)。在视频中,UFED命中在Cellebrite机器上执行任意代码的文件。此Exploit Payload使用MessageBox Windows API来显示具有它的消息的对话框。这是为了证明目的;它可以执行任何代码,并且可能会寻求无法检测到以前的报告,妥协了未来报告的完整性(可能是随机的情况!)的完整性,或者从Cellebrite机器中删除数据的完整性。
博客文章宣布,在将来,信号应用程序将定期添加“美学上令人愉悦”的文件,并随机添加信号用户手机上的信号的应用程序数据缓存。这是博客帖子的最后一段:
在完全不相关的新闻中,即将推出的信号版本将定期获取文件到应用程序存储中的放置。这些文件永远不会用于内部信号中的任何内容,永不与信号软件或数据交互,但它们看起来很好,美学在软件中很重要。文件只会返回已在已有某段时间的活动安装的帐户返回,并且仅基于电话号码分片的低百分比概率。我们有一些不同的版本的文件,我们认为在美学上令人愉悦,并将迭代那些缓慢的时间。对这些文件没有其他重要意义。
这到底是什么意思呢?只有Moxie和他的团队知道。我们其他人都留下来猜测。我真的有一位记者告诉我,他们无法讲述博客文章的这一部分是一个笑话。
一种解释是“美学上令人愉悦”意味着它们是图像文件 - 就像猫的图片或某事 - 信号用户从未实际看到并且没有积极地放入应用程序存储自己。另一个解释,如果我们假设那些“美学上令人愉悦的”文件做了“真实的漏洞有效载荷”可以做的事情,那么(缺少Cellebrite缓解)这些文件如果该手机在那些文件中使用Cellebrite工具进行分析,则可能会影响Cellebrite机器在应用程序存储中。
如果没有别的,这意味着如果他们遵循他们所说的那样,那么信号将在一些用户的手机上向信号应用程序的本地存储中的信号中添加噪声。但只有一些用户,并且信号都不知道哪个用户,并且文件会周期性地改变,如果它们是那里。它不是这种情况,所有信号的用户都将通过信号添加到本地存储中的相同文件。
任何应用程序都可以包含这样的文件[即一个笨拙的文件],直到Cellebrite能够以极高的置信度准确地修复其软件中的所有漏洞,Cellebrite用户唯一的补救措施是不是扫描设备。 Cellebrite可以通过更新其软件来停止扫描应用程序来降低用户的风险,以阻止这些类型的数据完整性问题的高风险,但即使是无法保证。
基本上,他们所说的是:“我们要与您搞砸,以向Cellebrite为信号数据添加支持。如果要确保自己的数据完整性,您的用户(COPS)应停止扫描已安装信号的电话。但即使,你也无法真正确定,因为你或执法的应用程序认为高风险可能不是中毒的那些。可以肯定的唯一方法是让您的用户(警察)停止执行您的工具所做的一件事,最终可能会让您失业。“
信号继续,“我们当然愿意负责任地披露我们对Cellebrite的特定漏洞,如果他们对他们的身体提取和其他服务在各自的供应商中使用的所有漏洞,他们都会对他们的各自供应商进行同样的事情。 “
基本上,“如果你告诉我你的话,我会告诉你我的。”这通常不是如何漏洞泄露工作,而且Afaik,Cellebrite并没有将其提出到目前为止的优惠。
顺便说一下,这不是Cellebrite被抛弃的第一次被抛弃的安全性。 2017年,黑客被黑客攻击的Cellebrite的服务器和“获得了与Cellebrite相关的900 GB数据”,包括(1)Cellebrite客户的用户名和用于登录其网站的用户名和密码; (2)“关于Cellebrite的大量技术数据和”产品“;甚至(3)“出现了从扣押的移动电话的证据文件,从Cellebrite设备的日志中出现的证据文件。”
据副,博客帖子几天后,“Cellebrite推动了客户的更新......限制了什么产品可以执行逻辑IOS提取。”该公司并未承认VULN是否是描述的一个信号。 (但基本上每个人都认为是这种情况。)Cellebrite所说,“基于我们的评论,我们没有找到任何在我们解决方案的现实生活中使用这个漏洞的实例。”评论副窃款的Cellebrite客户说:“似乎是一种最大限度地减少攻击面[,]而不是”修复[。]'“。
从新闻报告中,它听起来像Cellebrite暂时关闭了iPhone支持物理分析工具。 (注意Cellebrite只关掉了对物理分析仪的支持,即使信号博客帖子的演示是关于UFED软件的,他们表示存在类似的利用物理分析仪。)您会记得物理分析仪是两部分的第二部分系统。 UFED创建备份,物理分析器解析文件。
但即使UFED也有VULNS,Cellebrite客户仍然可以使用UFED将数据从iPhone转储到本地备份上。您可以备份数据,但现在您不能用它做任何事情。那仍然有点奇怪,因为如果UFED中的vUlns也可以改变数据,为什么要保持UFED的支持?是否有可能改变这些数据转储的风险?我的猜测:Cellebrite正在逐渐消失,因为他们的企业对两种产品的支持甚至更令人灾难,他们足以让任何真实的利用,因为他们离开它为iPhone而努力工作。他们认为客户将希望与这些数据转储保持保存证据(这肯定比将手机通电,充电,并在未锁定的状态无限期地保持所在,但他们认为物理分析仪vulns更危险,所以这就是他们的一部分决定暂停。但这只是我的猜测。在任何情况下,这只是一个救济援助解决方案:Cellebrite将不得不恢复IOS对物理分析仪的支持。
这就像在中国商店以外的院子里有一个公牛,它被锁在围栏内的院子里。所以它被包含在那里。这不是一个长期的解决方案,公牛可能仍然对院子造成伤害,但中国商店的所有者认为公牛可能会变得寒意,并且任何损坏都不会像公牛一样糟糕要进入中国商店。并将公牛留在中国商店内,现在,他们登上了中国商店的大门。但内部,该商店仍然充满了脆弱,易碎的中国。在他们转换为亚马逊人或其他东西之前,将物理分析仪转回将不会安全。 (是的,对不起,这不是最好的比喻。)
“这可能对世界各地的Cellebrite各地的许多警察机构成为一个严峻的问题。如果犯罪分子可以通过像Marlinspike描述的恶意文件运行恶意文件,他们可以破坏证据。“
不,故意破坏证据 - 或“兴奋”使用法律术语 - 绝对不是合法的。
既不是攻击某人的电脑,这是一个信号的博客帖子在说“真正的利润有效载荷”。它说,“真正的利用有效载荷可能会寻求无法检测到以前的报告,损害了未来报告的完整性(可能随意!),或从Cellebrite机器中抵抗数据。”所有这些事情都是违反了被称为计算机欺诈和虐待法案的联邦反黑客法,或CFAA,也可能也是许多国家法律版本的CFAA。 (如果计算机属于联邦执法机构,则绝对是CFAA违规。如果是国家,地方或部落政府执法机构,那么,由于CFAA如何定义该法案所涵盖的“受保护的计算机”。可能取决于用于Cellebrite提取的Windows机器是否连接到互联网。该机器应与警察部门的其他网络分开分割,但如果它有互联网连接,则CFAA适用。即使它没有,我打赌还有其他方式可以轻松满足“受保护的计算机”定义。)
所以,呃,是否可以更新其应用程序来使其成为警察计算机?回想一下,关于如何“即将推出的信号版本是定期获取文件到应用程序存储中的文件”的信号所说的话。这是非常切割的,Coy,逃避的语言,它并没有说出他们的意思。他们眨眼,微笑着,露出读者而不是明确。
他们似乎暗示 - 或者至少他们似乎打算读者,更重要的是Cellebrite及其客户,推断 - 该信号将为他们的应用程序添加“无害”代码,可能会改变Cellebrite上的数据机器如果手机插入其中。如果他们说他们暗示他们所说的话,信号基本上宣布他们计划将他们的应用更新到黑客执法电脑,也可以在刑事案件中篡改并剥夺证据。
当你这样做时,它会清楚为什么他们正在使用这样的Coy语言以及为什么我打赌他们正在虚张声势:这些事情是非法的。这是一个可以让自己的用户陷入困境的特技(如果用户被归咎于她的手机对Cellebrite机器的作用,那么她将被陷入痛苦的世界,无论她最终最终是否最终被扣留为设计她在手机上安装的一个应用程序),并可以在热水中获得它们(因为他们故意设计并将这些卷曲的文件放在用户的手机上)。
此外,允许我实际上还没有看过这个,但它似乎可以让信号从Apple和Google App商店中踢出来,如果公司将此解释为违反他们的App Store规则对恶意软件的规则。 (实际上它实际上并不是有助于保护隐私或自由表达或人权,因为信号骄傲自行,如果人们无法安装和更新应用程序,或者如果他们签署恶意虚假版本的信号,那么一些网络犯罪团伙或邪恶政府投入那里。)
所以我的猜测是他们正在扮演这种轻推眨眼,可怜的赋予性,模糊的语言游戏,你可能会推断他们将制作他们的应用程序黑客Cellebrite机器和破坏证据,但实际上他们从未有任何意图实际上这样做。这只是用cellebrite混乱并做出一点。最多,也许他们在应用程序存储中粘贴一些文件,这些文件根本没有恶意。也许Cellebrite的迅速反应方便地让信号不得不跟进,以便在其可爱的避险语言的可粘性可疑性之上。
仍然,这是一个
......
