Da Signal-gründeren Matthew Rosenfeld/Moxie Marlinspike i forrige uke meldte at han hadde funnet en måte å hacke Cellebrite-enheter - det verktøyet politi- og etterretningsmyndigheter over hele verden bruker til å hacke mobiltelefoner - skrev han at hacket var utført på en enhet som utrolig nok hadde ramlet av en lastebil akkurat i det den passerte ham, mens han var ute og gikk.
Det var selvsagt skrevet med glimt i øyet, men Rosenfeld hadde uansett ikke behøvd å vente på en passerende lastebil. Denne våren kunne han faktisk ha kjøpt en Cellebrite-enhet ved å gjøre et søk på Finn.no.
Der ble det nemlig lagt ut en enhet til salgs 8. mars i år, av en person i Oslo-området. Finn-annonsen hadde følgende salgstekst: «Cellebrite Touch Hacking Tool. Meget sjelden. Ikke mange av dem til salgs. Blir blant annet brukt av militæret og etterretning og FBI i utlandet. Med den kan du spore opp sms, samtalelogg som har blitt slettet, og mye mer. Ny pris over 20.000 kroner. Kan byttes mot noe annet spennende.»
Prisen på enheten var i annonsen satt til 4999 kroner.
Slik finner du spionkameraer
Liker ikke bruktsalg
Om Rosenfeld ikke hadde kommet på å prøve Finn, ville han også funnet enheter til salgs endre steder. For eksempel på Ebay - noe Digi.no har skrevet om tidligere også. Fredag viste et raskt søk 36 enheter til salgs her, i tillegg til mange titalls annonser med kabler og utstyr. Prisen på enhetene varierer fra noen hundrelapper til litt over 16.000 kroner for et utstyr som ligner på det Rosenfeld har avbildet i bloggposten sin.
Cellebrite er ikke glad i slik bruktsalg av utstyret deres. I saken fra 2019 (lenken over) refereres et brev Cellebrite har sendt til kundene sine. Der skriver de: «Vi anmoder dere om å behandle alt Cellebrite-utstyr i organisasjonen deres med høyeste nivå av sikkerhet. Skulle dere ha enheter som ikke lenger er i bruk, så ber vi om at dere destruerer disse på sikkert vis, eller returnerer varene til oss slik at vi kan gjøre det.»
Men om Cellebrite ikke liker at utstyret deres videreselges, så er det ikke forbudt å omsette dette utstyret, opplyser Kripos.
– Det er ikke lovmessige restriksjoner for omsetning av slike enheter i Norge, og det er ikke aktuelt for Kripos å iverksette etterforskning på bakgrunn av annonsen, skriver Olav Skard som leder nasjonalt cyberkrimsenter (NC3).
Han mener bildene i annonsen tyder på at det er en eldre Cellebrite-enhet, men skriver at politiet ikke kan verifisere verken alder eller om den er ekte, basert på annonsen.
Finn-annonsen ble lagt ut 8. mars, og tatt ned tre uker senere. Kripos skriver at de ikke var kjent med annonsen før Digi.no tok kontakt, og at de ikke har bedt om at den ble fjernet.
– Kripos mangler ingen slike enheter, og er heller ikke kjent med at det mangler noen fra andre deler av politiet, skriver Skard.
Får IKT-toppjobb i Forsvarsdepartementet
Ulike kundegrupper
Etter det Digi.no kjenner til består kundemassen til Cellebrite i hovedsak av politietater og statlige etterretningsaktører.
Signal - som ser ut til å ha et lite agg mot Cellebrite etter at Cellebrite hevdet å kunne dekryptere meldingsdatabasen til appen deres - har imidlertid gjort et poeng av at det ikke bare er politiet i demokratiske land som bruker utstyret når de skal hacke seg inn i telefoner de har beslaglagt fra kriminelle.
De hevder at kundelisten også inneholder myndigheter i en rekke autoritære regimer, som bruker utstyret for å undertrykke opposisjonen, og kontrollere journalister og regimekritikere.
Folk vi har snakket med i elektronikkbransjen påpeker at Cellebrite-enheter også kan være interessante for privatdetektiver, butikker som selger overvåkingsutstyr, eller verksteder som henter ut data fra ødelagte telefoner og PCer. Vi har imidlertid ikke kommet i kontakt med noen i disse bransjene som selger eller bruker Cellebrite-utstyr.
Ble kalt et «sikkerhetsmareritt» – slik beroliger Microsoft kundene
Varsles om Finn-annonser
Fra Finn.no får Digi.no opplyst at det er selgeren selv som har tatt ned Cellebrite-annonsen, uten at det er mulig si om enheten ble solgt.
Geir Petter Gjefsen, som leder Finns avdeling for forbrukertrygghet, sier at de ikke har fått noen varsler om denne annonsen. Han oppfordrer imidlertid alle om å melde i fra dersom de ser noe til salgs på Finn som de synes virker mistenkelig, eller mener ikke burde være der.
– Vi har noen automatiske verktøy for å oppdage uønskede annonser, men for å fange opp mest mulig, er vi avhengig av at folk sier i fra, og vi får mange henvendelser, forteller han.
Langt fra alle henvendelser ender med at annonser blir tatt ned, men Gjefsen mener det er bedre at de får for mange varsler enn for få. Hvis det hadde kommet inn et varsel på Cellebrite-annonsen tror han Finn.no ville tatt kontakt med politiet for å få oppklart om det var lovlig å selge enheten.
– Det hender også at vi får henvendelser om annonser fra politiet selv, og fra Tollvesenet og Mattilsynet, forteller Gjefsen. – I slike tilfeller følger vi som regel anmodningene vi får fra dem.
Tester om norsk KI-modell kan avsløre GPS-jamming