Metju Rozenfild, poznatiji kao Moksi Marlinspajk, osnivač Signala, je na zvaničnom blogu aplikacije nedavno objavio post koji je detaljno obrazložio kako je uspeo da kompromituje alat za dešifrovanje podataka kompanije Cellebrite.

Već se na prvi pogled nameće pitanje — zašto je to radio?

Ispostavlja se da čitava priča ima zanimljivu pozadinu. Izraelska kompanija Cellebrite proizvodi dva alata za manipulaciju podacima, UFED i Physical Analyzer, koji koriste i policijske službe za ostvarivanje pristupa zaštićenim podacima sa telefonskih i drugih uređaja. Prošle godine, kompanija je objavila kako je njihov alat za pristup podacima u stanju da „dešifruje Signal”.

Kako su brojni mediji preneli vest sa senzacionalističkim naslovima, Marlinspajk je morao da reaguje, navodeći kako tehnički izveštaj koji je kompanija objavila (a potom i sklonila) ne uliva poverenje u njihove sposobnosti, kao i da korisnici Signala nemaju razloga za brigu.

Sada je, međutim, slučajno naišao na primerak Cellebrite alata koji je „spao s kamiona” pa je mogao lično da se uveri u njegove sposobnosti:

Ispostavlja se da u osnovi UFED alat jednostavno pravi bekap (adb bekap za Android ili iTunes bekap za iOS) — i ništa više. Podrška za Signal svodi se na podršku za format fajlova koje Signal koristi. U suštini, softver ne dozvoljava ništa što pristup otključanom telefonu već ne omogućuje.

Problemi sa softverom

Kada je zavirio u softversku stranu, programer je imao šta i da vidi. Kako kaže, osnovne bezbednosne prakse nisu ispoštovane, a ti veliki propusti mogu imati značajne posledice. Recimo, softver uključuje zastarele ffmpeg dll fajlove iz 2012. godine, i stotine bagova koji su u međuvremenu prijavljeni uopšte nisu zakrpljeni, što ukazuje na nivo pažnje koji je posvećen softveru.

A pošto je softver neverovatno šupalj, Marlinspajk je bio u stanju da ubaci maliciozni kod u obične fajlove koji je Cellebrite alat bez zadrške skenirao. Kako kaže, tim putem mogu da se izmene čak i izveštaji koje alat kreira, i unesu promene i u sve buduće izveštaje, što potpuno kompromituje integritet alata. 

Naravno, istim putem je moguće na razne načine se poigrati sa softverom, i na tu temu je programer objavio i zanimljiv video:

Kao da to nije dovoljno, programer je otkrio i da Cellebrite koristi Apple fajlove (AppleApplicationsSupport64.msi i AppleMobileDeviceSupport6464.msi) koji su izvučeni direktno iz iTunes-a za Windows, i njih koristi da pristupi Apple telefonima. (Postavlja se interesantno pitanje licenciranja softvera s Apple-ovim digitalnim potpisom u komercijalne svrhe.)

Kako kaže, jedini način da se korisnici ovog proizvoda zaštite jeste da do daljnjeg njime ništa ne skeniraju.

Šta dalje?

Na pitanja medija, Cellebrite je izjavio kako stalno unapređuju softver kako bi mušterijama pružili najbolje moguće iskustvo. No, imajući u vidu da je u pitanju alat koji (navodno) koriste policijske i druge službe, bezbednosni propusti navode na čitav niz pravnih pitanja, kao i bazično pitanje — kako nijednom inženjeru do sada nije palo na um da ispita bezbednost alata pre nego što njegova služba počne da ga koristi?

Sa svoje strane, Marlinspajk je obećao da će detaljno izložiti sve ranjivosti Cellebrite-u ukoliko se kompanija obaveže da će od sada pa nadalje činiti to isto za sve proizvođače čije bezbednosne propuste koristi u svom poslovanju.

Za kraj, CEO Signala napomenuo je da će aplikacija početi da kreira neke „beznačajne” fajlove „estetske prirode” na uređajima, za koje se spekuliše da imaju za cilj da otežaju ili onemoguće ovaj alat čak i da skenira fajlove aplikacije.