CELLEBRITE

Signal-gründer hevder han kan gjøre politiets hackerverktøy ubrukelig i retten

Cellebrite skal ha sårbarheter som gjør det mulig å endre eller fjerne data politiet har hentet ut fra beslaglagte mobiltelefoner.

Signal har laget en video som skal vise hvordan de hacker Cellebrite, og legger ut en ertende hilsen på det som ser ut til å være en skjerm-meny fra Cellebrite-programvaren.
Signal har laget en video som skal vise hvordan de hacker Cellebrite, og legger ut en ertende hilsen på det som ser ut til å være en skjerm-meny fra Cellebrite-programvaren. Foto: Skjermdump fra Signal.org/blog
23. apr. 2021 - 10:23

Cellebrite, det israelske hackeverktøyet som blant annet brukes av norsk politi for å hente ut data fra beslaglagte telefoner, kan ha blitt hacket på en måte som vil gjøre det vanskelig å bruke disse dataene som bevis i straffesaker.

Onsdag publiserte nemlig Moxie Marlinspike, gründeren bak den krypterte meldingsappen Signal, en bloggpost hvor han hevder at han har avdekket sårbarheter i Cellebrite som gjør det mulig å manipulere beslaglagte data i Cellebrite-verktøyet.

Marlinspike har hatt en torn i siden til Cellebrite siden Cellebrite før jul gikk ut med en melding om at verktøyet deres kunne dekryptere meldingsdatabasen til Signal-appen. Han svarte raskt med et syrlig blogginlegg hvor han påpekte at det Cellebrite hadde klart, var å åpne appen på en ulåst telefon. Nå hevder han at det i stedet er Signal som har funnet ut hvordan de kan ta seg inn i Cellebrite-verktøyet.

Dette er spionkameraet som ble benyttet til å filme folk i dusjen i Arendalsuka.
Les også

Dette er spionkameraet fra Arendalsuka

Endringene vil ikke synes

Marlinspike hevder at han har avdekket sårbarheter i Cellebrite-programvaren som gjør det mulig for ham å kjøre skadelig kode på Windows-datamaskinen som brukes når Cellebrite skal analysere innholdet på en telefon.

I bloggposten skriver han at han ved å inkludere en spesielt tilpasset, men tilsynelatende harmløs fil, i en app på en telefon som skannes med Cellebrite, gjør det mulig å endre på ikke bare dataene Cellebrite henter ut i den skanningen, men også data som er hentet ut ved tidligere skanninger, eller hentes ut ved framtidige skanninger.

Marlinspike hevder at det på denne måten er mulig å både fjerne og legge til tekst, eposter, fotografier, kontakter, filer eller andre typer data. Og at det kan gjøres uten at det er mulig å se noen endringer i tidsstempler eller sjekksummer som brukes for å verifisere at dataene ikke er tuklet med.

Mark Hurd var administrerende direktør da Oracle fornyet JavaScript-merkenavnet i 2019, men døde senere samme år.
Les også

Bedragerianklage mot Oracle

Bevis kan bli ubrukelige

Dersom Marlinspike har rett i dette, betyr det at man i en rettssak vil kunne trekke i tvil ethvert digitalt bevis som politiet har hentet ut av en telefon med Cellebrite-verktøyet. Det vil i så fall ikke være første gang politiet har problemer med Cellebrite.

I fjor vår ble det nemlig oppdaget at Cellebrite i noen tilfeller feiltolket tidsstemplene på filer som ble hentet ut, slik at tidspunktet for når filene var opprettet ble vist feil for etterforskerne. Feilen hadde fått virke i to år før den ble oppdaget, og man måtte gjennomgå mellom 300 og 400 rettssaker i Norge og Danmark for å sjekke om feilen kunne ha ført til feilaktige dommer.

Cellebrite-verktøyet består av to deler. UFED Ultimate brukes til å låse opp telfeoner og knekke krypteringer, mens Physical Analyzer avdekker innholdet som potensielt kan brukes som digitale bevis. Marlinspike skriver at Signal-utviklerne ble overrasket over hvor dårlig datasikkerheten var ivaretatt i Cellebrites programvare. Ifølge Signal-gründeren mangler den grunnleggende sårbarhetsvern, noe han mener kan utnyttes på en rekke måter.

I bloggposten trekker han særlig fram ett eksempel på sårbarheter som kan utnyttes. Cellebrite har inkludert filformatet FFmpeg. i sine produktet. Det har blitt sluppet over 100 sikkerhetsoppdateringer til dette formatet siden lanseringen i 2012, men ifølge Marlinspike er ingen av disse oppdateringene inkludert i FFmpeg-programvaren som er bundlet inn i Cellebrite-produktene.

Jon Birger Ellingsen er ansatt som Chief Investment Officer i Telenor Fiber.
Les også

Jon Birger Ellingsen tar stort sprang fra Lyse til Telenor

Kan Signal gjøre telefoner Cellebrite-sikre?

Til bloggposten har Signal fått laget en video som viser hackere legge ut det noe som kan tolkes å være hilsen til Cellebrite på en Cellebrite-skjermmeny: «Mess with the best, die like the rest.»

Men Marlinspike mer enn antyder at han kan komme til å utnytte sårbarhetene han har avdekket med mer alvorlige konsekvenser. I et kryptisk avsnitt i bloggposten skriver han at kommende versjoner av Signal-appen vil inneholde filer bare fordi de ser pene ut, og fordi estetikk er viktig i programvare.

I kommentarfeltet til nettstedet Ars Technica, som har omtalt Marlinspikes bloggpost, er det flere som mener dette ikke kan bety annet enn at Signal truer med å legge inn modifiserte bildefiler i appen, som kommer til å utnytte den avdekkede FFmpeg-sårbarheten hvis telefoner med Signal installert blir forsøkt hacket med Cellebrite.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Andre mener at dette i så fall er tomme trusler, fordi Signal da risikerer å bli kastet ut av app-butikkene til både Google og Apple.

Ghadi Al Hajj er doktorgradstipendiat ved UiO.
Les også

Vil bruke KI til å påvise immunsykdom – men den trenger hjelp

Vil dele funn - hvis Cellebrite gjør det

Om Signal-trusselen er humoristisk ment, er den ikke det eneste i bloggposten som er skrevet med et kryptisk glimt i øyet. Når Marlinspike skal forklare hvordan Signal «ved en utrolig tilfeldighet» har fått tak i en Cellebrite-enhet - som slett ikke kan kjøpes av privatpersoner, forteller han at han var ute og gikk da noe falt av en lastebil som passerte ham. Et fotografi i bloggposten viser det som skal være en bag med den nyeste versjonen av Cellebrite og tilhørende utstyr.

I bloggen skriver han også at Signal er villige til å dele sine funn rundt sårbarhetene i Cellebrite, dersom også Cellebrite vil dele sårbarhetene verktøyet deres utnytter for å kunne hacke mobiltelefoner.

Ars Technica har bedt Cellebrite om en kommentar til Moxie Marlinspikes påstander, og spurt om selskapet kjenner til sårbarhetene han beskriver. Men de har bare fått en epost med en generell uttalelse til svar. I eposten skriver selskapet at «Cellebrite er forpliktet til å beskytte integriteten til kundenes data. Vi reviderer og oppdaterer kontinuerlig programvaren vår for å utstyre våre kunder med de beste digitale etterretningsløsningene som er tilgjengelig.»

Dr. Guru Bhandari ved SEIT Kristiania har utviklet en KI-løsning som kan oppdage sårbarheter i IOT-kode i sanntid.
Les også

Norsk teknologi: Fikser sårbar kode automatisk

 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra