A Cellebrite é uma tecnológica israelita que trabalha com empresas e governos para encontrar e explorar falhas em software e sistemas de segurança. Tornou-se numa das organizações mais conhecidas no mundo da segurança informática por, alegadamente, já ter trabalhado com regimes autoritários, como a Rússia, Venezuela e China, e por o seu software já ter sido, alegadamente, usado para monitorizar ativistas e jornalistas. Agora, o ditado ‘casa de ferreiro, espeto de pau’ parece confirmar-se, com o criador da aplicação Signal, Moxie Marlinspike, a anunciar ter descoberto falhas no software das ferramentas usadas pela Cellebrite e ter conseguido mesmo executar código malicioso nos computadores que a tecnológica usa para analisar outros aparelhos. O feito foi conseguido através da utilização de ficheiros formatados especificamente e integrados em apps instaladas nos aparelhos a analisar.
“Em teoria, não há limites” para o alcance desta vulnerabilidade encontrada no software da Cellebrite, explica Marlinspike ao ArsTechnica. “Por exemplo, ao incluir um ficheiro formatado especificamente, mas que parece inócuo, numa app no dispositivo que está a ser analisado pela Cellebrite, é possível executar código que modifica não só o relatório produzido pela empresa, mas também todos os anteriores e futuros relatórios de todos os dispositivos anteriormente analisados de forma arbitrária (inserir ou remover texto, email, fotos, contactos, ficheiros ou quaisquer outros dados)”, detalha o investigador.
A solução da Cellebrite passa pela utilização de dois programas (UFED para quebrar proteções e encriptações e Physical Analyzer para descobrir ‘evidências digitais’) que têm de ser conjugados para combinar todos os tipos de dados armazenados no aparelho em análise. Para conseguirem ser eficazes e detetar corrupção de memória, estes programas têm de conseguir suplantar as salvaguardas instituídas. Marlinspike refere que “ao analisar [os programas] fomos surpreendidos ao descobrir que pouco cuidado parece ter sido prestado para o próprio software da Cellebrite (…) faltam as defesas standard da indústria para mitigação e há muitas oportunidades de exploração presentes”.
Estes produtos, por exemplo, incluem ficheiros DLL Windows para conversão de áudio e vídeo que estão datados. O FFmpeg, um destes, é utilizado desde 2012 e não recebeu quaisquer atualizações, apesar de, na versão para ‘fora’ já ter sido atualizado mais de cem vezes entretanto. Outro exemplo é a inclusão de pacotes de instalação MSI assinados digitalmente pela Apple e que parecem ter sido extraídos do instalador do iTunes, algo que pode configurar uma violação dos direitos de autor da própria Apple.
A Cellebrite já reagiu indicando que “estamos comprometidos em proteger a integridade dos dados dos nossos clientes e continuamos a auditar e atualizar o nosso software para equipar os nossos clientes com as melhores soluções de inteligência digital possíveis”, não comentando especificamente as vulnerabilidades detetadas por Marlinspike.
De recordar que a Signal é considerada como a aplicação de mensagens instantâneas que garante maior segurança e privacidade aos seus utilizadores e que, no final de 2020, a Cellebrite alegou ter conseguido contornar o sistema de encriptação da plataforma – algo que a Signal viria a desmentir na época.
