2021/04/22

Signal vinga-se da Cellebrite com ficheiros "envenenados" que exploram vulnerabilidades

A app Signal, que se preza por levar a sério a segurança, não apreciou que a Cellebrite dissesse que passou a incluir o Signal nas suas ferramentas de extracção de dados, e preparou-lhes uns "presentes envenenados".

A Cellebrite é uma das empresas que fornece sistemas de extracção de dados, que as autoridades (e regimes opressivos) utilizam frequentemente para tentar obter dados de smartphones de criminosos e "pessoas de interesse". Quando a empresa anunciou que iria passar a incluir os ficheiros da app Signal nos seus relatórios, o CEO da Signal levou o caso a peito, e decidiu inverter as posições, dedicando um pouco de atenção à (falta de) segurança das próprias ferramentas da Cellebrite.

Tirando partido de um kit da Cellebrite que terá "caído de um camião", o CEO da Signal descobriu que o software da Cellebrite é um poço sem fundo de vulnerabilidades, incluindo módulos de software que não são actualizados há anos e que já receberam literalmente centenas de actualizações por falhas de segurança; e não demorou para que conseguisse demonstrar como seria extremamente fácil fazer com que um smartphone fosse "armadilhado" de forma a que, quando estivesse a ser inspeccionado pelo software da Cellebrite, conseguisse infectar o sistema e fazer tudo o que muito bem entendesse: não só pondo em causa a capacidade do sistema da Cellebrite poder extrair os dados desse smartphone, como potencialmente adulterando todas as futuras tentativas de extracção de dados para os smartphones posteriores.

Adicionalmente, foi também detectado que o software da Cellebrite inclui software oficial da Apple, para conseguir simular que funciona como o iTunes para o processo de fazer o backup de dados de um iPhone - algo para o qual é duvidoso que tenha autorização da Apple para fazer (veremos a reacção da Apple a isto).

O CEO da Signal diz que, como é boa prática, está disposto a informar a Cellebrite de todas as vulnerabilidades que encontrou no seu software, desde que a empresa também faça o mesmo relativamente a todas as vulnerabilidades que explora para tentar extrair dados dos smartphones.
E, como prenda final, diz que a app Signal irá começar a incluir alguns ficheiros adicionais que não têm qualquer funcionalidade prática nem interferirão com o funcionamento, mas que "ficam bem" na app, e que poderão ser actualizados de tempos a tempos. Ficheiros esses que seguramente poderão causar algumas surpresas e dissabores a quem tentar utilizar os sistemas da Cellebrite para extrair dados de um smartphone com a app Signal instalada.

7 comentários:

  1. Assim, sim. Dá gosto, eh, eh...

    😁😁

    ResponderEliminar
  2. Bem feito, virou-se o feitiço contra o feiticeiro.
    Assim dá gosto utilizar uma aplicação que presa a sério pela segurança da aplicação e dos utilizadores.

    ResponderEliminar
  3. Boa malha! Mas para mim o que era bom era deixar de receber mensagens de gente estranha no messenger do Facebook. Já agora alguém tem dicas para isso?

    ResponderEliminar
    Respostas
    1. Apagar o Messenger e Facebook. Eu já o fiz e sou hoje uma pessoa muito mais feliz ! Quem quiser falar comigo ou saber como estou, que me ligue ou mande uma mensagem !!

      Eliminar
    2. Essa é a melhor solução sem dúvida!

      Eliminar

[pub]