Компания Cellebrite исправила найденные Signal уязвимости и ограничила работу своих программ с iPhone
Израильский разработчик объявил о «взломе» защищённого мессенджера в декабре — в ответ команда Signal взломала Cellebrite.
Cellebrite, которая специализируется на взломе смартфонов для полиции и спецслужб ряда стран, выпустила обновления безопасности для своих программ. Наряду с исправлением уязвимостей, разработчики сделали невозможным «логическое извлечение» данных с iOS-устройств любыми продуктами компании, кроме Cellebrite UFED.
Также в сообщении говорится, что компании неизвестны случаи использования ошибок безопасности в её программах.
Некоторые эксперты уже высказали сомнение в эффективности исправлений Cellebrite. Один из неназванных клиентов компании в беседе с Vice заявил, что «это больше похоже на попытку сократить поверхность атаки, чем на исправление ошибок».
Какие проблемы нашли в программах Cellebrite
Об уязвимостях в продуктах Cellebrite команда мессенджера Signal рассказала в апреле 2021 года. Компания получила доступ к продуктам разработчика и обнаружила, что в них нет даже базовых механизмов безопасности.
Программы Cellebrite могут исполнять любой код в специально подготовленных файлах и искажать извлекаемые данные, что ставит под угрозу корректность полицейских расследований с использованием этих программ.
Исследование создателя Signal выявило не только технические, но и юридические проблемы программ Cellebrite. Например, для работы с iOS-устройствами утилита UFED использует библиотеки iTunes, на что Apple вряд ли давала разрешение.
Из-за этого правозащитники разных стран начали требовать от правоохранительных органов, чтобы они перестали использовать программы Cellebrite. Как минимум, до окончания всестороннего прозрачного расследования.
Участники движения Open Rights Group в своём письме правительству Шотландии заявили, что полицию должно беспокоить пренебрежение Cellebrite вопросами безопасности и лицензирования.
В Израиле местный юрист призвал силовые структуры приостановить использование продуктов Cellebrite. Он отметил, что ошибки в этих продуктах «подвешивают на волоске» корректность судебных процедур и доверие общества к судам.