«Шпионские игры» Cellebrite и NSO Group. Чем заканчиваются истории со взломами

В декабре 2020 года израильский разработчик ПО для взлома мобильных устройств объявил, что взломал флагманский мессенджер Signal. В ответ команда Signal получает доступ к программному обеспечению Cellebrite, UFED, и взламывает его. Взаимный «обмен ударами» состоялся. Обе компании указали на погрешности в программах оппонента. Чем же закончилось противостояние? Какие выводы сделали оба разработчика?

Интерфейс мессенджера Signal
Интерфейс мессенджера Signal

// Публикация сделана при поддержке компании Venture Club, основанной Владимиром Белым, главой венчурного фонда Alpha Robotics Venture, обладателем премии British Invention Award за вклад в развитие науки.

Шпион или помощник

Cellebrite — израильская компания, которая занимается цифровой криминалистикой и разведкой, разработчик ПО для взлома мобильных устройств, в том числе и iPhone. Компания оказывает услуги многим правоохранительным органам по всему миру, в том числе и российским силовым структурам до марта 2021 года. Еще в 2016 году глава Следственного комитета А. Бастрыкин заявил, что ведомство использует в своей работе Cellebrite. Их устройство использовалось, например, для взлома iPad экс–министра экономики Алексея Улюкаева. В США услугами Cellebrite пользуются спецслужбы, полицейские и частные детективы. Флагманский продукт Cellebrite UFED извлекает данные из мобильного устройства, а приложение Physical Analyzer их анализирует.

Интерфейс UFED
Интерфейс UFED

В декабре 2020 года Cellebrite объявляет о взломе защиты флагманского мессенджера Signal, но через некоторое время удаляют слова о взломе и заменяют их на «доступ к данным». Что дальше?

Ответный удар

Логично, что все ждали, какой ответ последует от Signal. И не ошиблись в своих ожиданиях: в апреле 2021 года Мокси Марлинспайк, создатель Signal, получил доступ к программно–аппаратному комплексу Cellebrite и взломал его, выявив уязвимость при экспорте данных. Ирония состояла в том, что система, которую полиция использует для выявления слабых мест в современных смартфонах, сама уязвима для эксплойтов. Signal выявила не только технические, но и юридические проблемы программ Cellebrite. Например для работы с ioS-устройствами утилита UFED использует библиотеки iTunes, на что Apple разрешения не давало. Надо отметить, что это был не первый взлом программы Cellebrite — в 2017 году хакер взломал серверы компании и похитил 900 ГБ данных и передал их компании Motherboard.

Заголовок новости на vice-com
Заголовок новости на vice-com

Игры в подмигивание

Противостояние нарастало. Signal объявила о включении в свое приложение файлов, которые могли повредить все текущие и будущие данные, собранные утилитой Cellebrite. Защитники прав конфиденциальности могут ликовать. Но так ли это на самом деле?

..Так что я предполагаю, что они играют в игру с подмигиванием, правдоподобным отклонением, расплывчатой языковой игрой, где, возможно, вы можете сделать вывод, что они хотят получить приложение, взломанное машиной Cellebrite и испортить улики, но на самом деле у их никогда не было никаких намерений на самом деле делать это. Это было просто для того, чтобы пообщаться с Cellebrite и высказать свою точку зрения. В лучшем случае, возможно, они помещают в хранилище какие-то файлы, которые вообще не делают ничего вредоносного. И, возможно, быстрый ответ Cellebrite легко избавиться от необходимости доводить дело до конца, вдобавок к правдоподобному отказу от жеманного уклончивого языка

Риана Пфефферкорн, Сотрудник Стэнфордского центра Интернета и общества

Примечательно, что Cellebrite действительно ответили — компания не признала уязвимость, на которую указали Signal.

Исходя из наших обзоров, мы не обнаружили ни одного случая выявления этой уязвимости в условиях использования наших решений

При этом Cellebrite временно отключила сообщения для инструмента Physical Analyzer, ссылаясь на то, что подобные эксплойты существуют и для Physical Analyzer. При том, что Signal указывали на уязвимость программного обеспечения UFED. Со стороны это могло выглядеть так, что теперь iPhone защищены от извлечения данных системой Cellebrite. Но не все так просто. Пользователи Cellebrite по прежнему могут использовать приложение UFED для извлечения данных и отправки их в Physical Analyzer.

А тем временем, наблюдая за всей этой «мышиной возней», исследователь Мэтт Бергин из ИБ-компании KoreLogic придумал Android–приложение LockAp — оно сбрасывает смартфон до заводских настроек с удалением всех данных, если его пытаются взломать с помощью программ Cellebrite. Но есть у нее и минус — она иногда неправильно считывает сопряжение с компьютером, путая его с Cellebrite. Приложение анализирует каждую устанавливаемую на смартфон программу на предмет «маркеров» Cellebrite: хешей, файлов, сертификатов и других данных. Если оно видит любой код, связанный с Cellebrite, то автоматически полностью «обнуляет» гаджет.

Ты — мне, а я — тебе

Если внимательно проанализировать противостояние Cellebrite и Signal, то создается впечатление, что они действительно словно подмигивали друг другу: «Ты мне показал мою, а я тебе покажу твою». Программы Cellebrite по сей день используются силовыми структурами многих стран. За исключением России — компания объявила о прекращении продаж из-за использования приложения спецслужбами России для преследования оппозиционеров, ЛГБТ– активистов и представителей этнических меньшинств. Signal Messenger считается наиболее защищенным приложением для зашифрованного общения. Особенно если учитывать, что для доступа к сообщениям Signal требуется физический доступ к устройствам. Дуэль состоялась, противники обменялись «ударами шпагами» и разошлись, сделав выводы без глобальных перемен.

Шпионская война с продолжением

Но не все «шпионские войны» заканчиваются так мирно. В октябре 2019 года Facebook подал иск против израильской компании по наблюдению за мобильными устройствами — NSO Group. Суть иска состоит в том, что NSO Group активно участвовала во взломе пользователей службы обмена сообщениями WhatsApp со сквозным шифрованием.

Лого WhatsApp
Лого WhatsApp

NSO Group — производитель шпионского ПО Pegasus. Программа позволяет правительственным клиентам тайно красть файлы и фотографии, прослушивать разговоры и тайно отслеживать местонахождение своих жертв. Pegasus использует эксплойты с нулевым кликом, отправленные через приложения для обмена сообщениями. Программа заражает iPhone и устройства Android, не требуя от жертвы нажатия на ссылки или выполнения каких-либо других действий. Интересно то, что телефонные номера в США недоступны для этих целей.

Уязвимость переполнения буфера в стеке WhatsApp VOIP позволяла шпионскому ПО Pegasus выполнять произвольный код на целевых телефонах, отправляя специально созданную серию пакетов SRTCP. Уязвимость можно было использовать для установки ПО сделав простой звонок жертве в WhatsApp, даже если на звонок не ответили. После этого ПО Pegasus стирала информацию о входящем звонке из журналов.

История в назидание

История с WhatsApp примечательна тем, что это был первый случай, когда поставщик службы зашифрованных сообщений подал в суд на частную организацию, которая делала атаки на пользователей его услуг. Чем закончится такой прецедент еще неизвестно. Судебные разбирательства продолжаются. NSO Group пытается выкрутиться всеми силами, но пока безуспешно. Так в ноябре 2021 года 9-й окружной апелляционный суд США в Сан–Франциско отклонил иммунитет NSO Group и разрешил Facebook возобновить иск против израильской компании.

Лого NSO Group
Лого NSO Group

А пока Facebook судится с NSO Group, на израильскую компанию сыпятся очередные неприятности. В декабре 2021 года Apple уведомила нескольких сотрудников посольства и Государственного департамента США о том, что их iPhone, очевидно, стали мишенью для злоумышленников, которые используют шпионское ПО Pegasus. К тому же, Министерство торговли США в ноябре 2021г. поместило компанию в черный список по экономическим причинам. Давление на NSO Group усиливается.

Какие выводы

Истории с Cellebrite и NSO Group наглядно показывают, что только в сказочном Багдаде все спокойно, а в мире кибербезопасности бушуют шпионские страсти. Информационная безопасность — бич современного человека. И мы еще не раз узнаем о громких разоблачениях и какие наказания за этим последуют. Самое эффективное средство борьбы с вмешательством туда, куда не следует — сделать такие вмешательства дорогостоящими с точки зрения денег, времени, ресурсов и исследований.

Автор статьи: Елена Жасан

Редактор: Полина Чакур

Будем благодарны вашему лайку!

Хотите привлечь инвестиции или получить консультации по своему стартапу? Присоединяйтесь к нашему сообществу Venture Club и получите доступ к широкому кругу интересных проектов, экспертов и инвесторов для взаимной помощи.

99
2 комментария

Девятъ шестъ восемъ шестъ четыре девятъ нолъ два нолъ три. муж мой тоже прятал переписку да пороли везде наставил, стали просто чужие уже даже бывает дома не ночует, переписки какие-то, звонки по ночам, голову ломать устала понимая что у него кто-то появился. Как-то за разговором со старой знакомой за эту тему посоветовала мне она обратится к ее знакомому мастеру айтишнику который может помочь в таком вопросе. Мы не за медлительно созвонились с ним и он мне посоветовал поставить ему удаленно на его номер классную программку, после чего я смогла как прослушивать так и записывать все ого звонки как входящие так и исходящие, пeрeхватывалась вся его пeрeписка и кoпии писeм приходили ко-мне и я всегда знала адрес где и с кем он якобы работает. А самое главное он поднял всю его старую переписку за год. Ну тут все и подтвердилось как я и догадывалась муж уже как год крутил роман с девицей с соседнего дома. Думаю если не эта программа еще сколько он мне мозги пудрил звоните не откажет номер его в начале комментария. Ребят мой совет всем такой не любите ушами, доверяете но проверяйте

Теперь пороть везде перестали?