O cofundador do Signal e especialista em segurança Moxie Marlinspike publicou no blog do aplicativo uma análise de falhas de segurança no Cellebrite , software israelense usado para análise forense de dados em dispositivos móveis como iPhones e smartphones Android .
Recentemente, a ferramenta foi usada para extrair conversas de aparelhos usados pelo vereador carioca Dr. Jairinho (expulso do Solidariedade) e sua namorada, Monique Medeiros, mãe do menino Henry Borel .
Também foi usado para investigações referentes à prisão de Fabrício Queiroz, ex-assessor do senador Flávio Bolsonaro, na investigação do assassinato da vereadora Marielle Franco em 2018 e no "Vaza Jato", nome dado ao vazamento de conversas privadas da equipe que atuou na Operação Lava Jato .
Além de forças policiais em regimes democráticos, o Cellebrite também é usado por “governos autoritários na Bielorrússia, Rússia, Venezuela e China, por esquadrões da morte em Bangladesh, pela junta militar na Birmânia e por regimes opressores na Turquia, UAE e outros locais”, diz o pesquisador.
“Falhas sérias” no Cellebrite
Recentemente os desenvolvedores do Cellebrite anunciaram suporte à extração de dados do Signal, o que levou Marlinspike a uma análise de como a ferramenta funciona.
Segundo o especialista, há sérias vulnerabilidades que permitem a execução “praticamente sem limites” de código no computador que está sendo usado para analisar um dispositivo.
“… ao incluir um arquivo especialmente formatado, mas inócuo, em um aplicativo em um dispositivo que é analisado pelo Cellebrite, é possível executar o código que modifica não apenas o relatório que está sendo criado, mas também todos os relatórios passados de dispositivos analisados anteriormente e todos os relatórios futuros de dispositivos que serão analisados”, afirma.
“Esta modificação pode ser feita de forma arbitrária (inserção ou remoção de texto, e-mail, fotos, contatos, arquivos ou quaisquer outros dados), sem alterações detectáveis no 'timestamp' (data e hora em que os dados foram gerados) ou falhas de soma de verificação (checksum). Isso poderia até ser feito aleatoriamente e colocaria seriamente em questão a integridade dos dados nos relatórios” diz Marlinspike.
A ferramenta da Cellebrite é dividida em duas partes: a primeira se chama UFED e é responsável por quebrar a segurança do aparelho sendo analisado e dar acesso ao seu conteúdo. A segunda é o Physical Analyzer, que irá processar os dados em busca de evidências.
Ambos precisam processar dados não confiáveis armazenados no dispositivo. Normalmente, várias medidas de proteção seriam tomadas para isolar estes dados e proteger o software contra corrupção de memória ou falhas no processamento que possam permitir a hackers “virar a mesa” e executar código malicioso no computador que faz a análise. Mas segundo Marlinspike, estas proteções não existem no software da Cellebrite .
“Olhando para o UFED e o Physical Analyzer, ficamos surpresos ao descobrir que muito pouco cuidado parece ter sido dado à segurança de software da própria Cellebrite”, escreveu Marlinspike. “Faltam medidas de defesa e mitigação de exploração (exploit mitigation) padrão da indústria e muitas oportunidades de exploração estão presentes”.
Um exemplo desta falta de preocupação com a segurança é a inclusão de bibliotecas (DLLs) do software de conversão de áudio e vídeo FFmpeg. Elas foram compiladas em 2012 e nunca foram atualizadas desde então. Mas segundo Marlinspike, nos últimos nove anos mais de 100 atualizações de segurança foram lançadas para o FFmpeg, nenhuma das quais está inclusa na versão usada no Cellebrite.
O pesquisador postou no perfil do Signal um vídeo em que mostra um arquivo malicioso em um dispositivo sendo usado para produzir uma mensagem no computador que conduz a análise. A frase “MESS WITH THE BEST, DIE LIKE THE REST. HACK THE PLANET!” (“MEXA COM O MELHOR, MORRA COMO OS OUTROS. HACKEIE O PLANETA!”, em tradução livre) é uma referência bem-humorada ao filme Hackers, de 1995.
Violação de copyright
Além das falhas de segurança, Marlinspike afirma ter encontrado no software da Cellebrite dois instaladores (arquivos com a extensão .MSI) assinados digitalmente pela Apple , que parecem ter sido extraídos da versão Windows do iTunes . O pesquisador questiona se isso não seria uma violação do copyright da Apple sobre seu software. Segundo o Ars Technica, a empresa não se pronunciou sobre o assunto.
De forma bem-humorada, Marlinspike “explica” como conseguiu colocar as mãos no kit da Cellebrite, que é vendido por milhares de dólares:
“Por uma coincidência verdadeiramente inacreditável, recentemente estava passeando quando vi um pequeno pacote cair de um caminhão à minha frente. Conforme me aproximei, vi um logo corporativo lentamente entrar em foco: Cellebrite. Lá dentro, encontrei a versão mais recente do software Cellebrite, um dongle de hardware projetado para evitar a pirataria (isso diz algo sobre seus clientes!) e um número bizarramente grande de adaptadores e cabos”.
Questionados pelo Ars Technica, representantes da Cellebrite não responderam a um e-mail perguntando se estavam cientes das vulnerabilidades reportadas ou se tem planos para corrigí-las.