Moxie Marlinspike ha messo le mani su un tool della compagnia, scovando oltre 100 vulnerabilità
Il CEO dell’app di messaggistica Signal afferma di aver violato gli strumenti di cracking di Cellbrite, utilizzati dalla polizia in Gran Bretagna e in tutto il mondo, per estrarre informazioni dai dispositivi sequestrati. In un post online, Moxie Marlinspike, il ricercatore di sicurezza che ha fondato Signal nel 2013, ha dettagliato una serie di vulnerabilità nei dispositivi di sorveglianza, realizzati dalla società israeliana. Marlinspike spiega che questi punti deboli rendono facile per chiunque piantare codice su un telefono per prenderne il controllo dell’hardware di Cellebrite.
Non solo sarebbe in grado di influenzare silenziosamente tutte le indagini future, ma anche di riscrivere i dati che gli strumenti avevano salvato dalle analisi precedenti. Marlinspike è stato un critico di Cellebrite da quando la società ha affermato di essere in grado di “violare la crittografia di Signal”, una costatazione che l’hacker ha respinto.
Meno sicurezza
“Cellebrite produce software per automatizzare l’estrazione fisica e l’indicizzazione dei dati dai dispositivi mobili”, afferma. “La loro lista di clienti include regimi autoritari in Bielorussia, Russia, Venezuela e Cina; squadroni della morte in Bangladesh; giunte militari in Myanmar; e coloro che cercano di abusare e opprimere in Turchia, negli Emirati Arabi Uniti e altrove. I loro prodotti sono stati spesso collegati alla persecuzione di giornalisti e attivisti incarcerati in tutto il mondo, ma è stato scritto meno su cosa fa effettivamente il loro software o su come funziona”.
Ma attraverso il reverse engineering di un dispositivo Cellebrite, Marlinspike sottolinea di aver ottenuto un tool di scansione della compagnia “quando ho visto un piccolo pacco cadere da un camion davanti a me”. Difficile da credere ma non è questo il punto. il fondatore di Signal afferma di aver trovato più di 100 vulnerabilità di sicurezza, una delle quali potrebbe modificare non solo i risultati di quanto trovato su un telefono ma anche i rapporti generati in precedenza e in futuro, così da pilotare, se si vuole, certe indagini.
