Les outils de piratage de haute technologie de Cellebrite utilisés par la police sont très faciles à pirater
Vous avez peut-être entendu parler des pirates informatiques pour compte d’autrui basés en Israël, Cellebrite, qui créent des outils de piratage pour smartphones qui sont ensuite utilisés par les forces de l’ordre et les agences gouvernementales du monde entier, ainsi que par des régimes répressifs et d’autres personnages peu recommandables.
Eh bien, il semble que leurs «produits de sécurité» ne disposent pas eux-mêmes de sécurité réelle, comme indiqué dans un article de blog cinglant du fondateur de Signal, Moxie Marlinspike.
Signal a mis la main sur un appareil Cellebrite UFED, et leur analyse a révélé de sérieux problèmes de sécurité, où «les défenses d’atténuation des exploits standard de l’industrie [are] manquant », avec de multiples opportunités d’exploiter l’appareil.
Vous pouvez voir certains de ces hacks en action ci-dessous, avec Signal montrant l’appareil UFED montrant un message bénin du film des années 90, Les pirates, comme preuve de concept. En réalité, la vulnérabilité qui a conduit à ce message pourrait laisser n’importe quelle charge utile s’exécuter sur l’UFED, corrompant potentiellement chaque analyse que l’appareil avait en mémoire à partir d’autres smartphones, ou même plantant de fausses preuves.
Avec la vulnérabilité nécessitant uniquement l’UFED pour lire un fichier sur l’appareil, toute personne disposant du savoir-faire technique pourrait conserver un fichier d’autodestruction sur son appareil au cas où il se retrouverait entre les mains de Cellebrite ou de toute organisation / agence qui utilise leurs services.
Cela pourrait aller encore plus loin, comme le fondateur de Phobos Group, Dan Tentler, dit que cette méthode pourrait être utilisée pour infecter une agence gouvernementale, en les incitant à «lire un téléphone chargé de l’exploit», qui serait ensuite transféré sur un ordinateur en réseau pour lire le fichiers l’appareil Cellebrite retiré du téléphone. Yikes.
Avez-vous des idées à ce sujet? Faites-nous savoir ci-dessous dans les commentaires ou portez la discussion à notre Twitter ou Facebook.
Recommandations des éditeurs:
