Signal mette in imbarazzo Cellebrite: gli strumenti che recuperano dati dagli smartphone hanno gravi problemi di sicurezza

Cellebrite è una società israeliana che realizza dispositivi per l'estrazione di dati da smartphone e che vengono spesso utilizzati dalle forze dell'ordine nel caso in cui debbano accedere ad informazioni utili per lo svolgimento di indagini. La società si trova ora al centro di una vicenda piuttosto imbarazzante: i suoi dispositivi sarebbero zeppi di vulnerabilità che possono essere sfruttate per compromettere non solo i report generati nell'analisi di uno smartphone, ma anche il PC a cui il sistema è collegato.

E' Moxie Marlinspike, CEO di Signal, a svelare il problema: "Includendo un file appositamente formattato, ma altrimento innocuo, in un'app su un dispositivo che viene analizzato da Cellebrite, è possibile eseguire codice che modifica non solo il report di Cellebrite creato per quell'analisi, ma anche tutti i report passati e futuri per tutti i dispositivi analizzati e in maniera arbitraria (inserendo o rimuovendo testo, e-mail, foto, contatti, file o qualsiasi altro dato), senza modifiche rilevabili del timestamp o errori di checksum".

Le vulnerabilità scoperte permetterebbero non solo di modificare i report prodotti dalle analisi dei dispositivi Cellebrite (minandone quindi l'attendibilità), ma anche di compromettere il sistema a cui il dispositivo è collegato con la possibilità di eseguire codice da remoto. "Non c'è limite" al codice che potrebbe essere eseguito, secondo quanto afferma il CEO di Signal che sottolinea come manchino le contromisure ai più comuni malware in circolazione.

Emerge quindi un approccio alla sicurezza decisamente lacunoso, laddove dovrebbe essere la priorità per strumenti di questo tipo proprio per evitare che possano essere sfruttati da hacker/malintenzionati/criminali per compiere le loro malefatte. Marlinspike cita, ad esempio, uno strumento software di conversione audio/video utilizzato nei sistemi Cellebrite rilasciato nel 2012. Da allora il software è stato oggetto di oltre 100 aggiornamenti di sicurezza, nessuno dei quali incluso nei prodotti di Cellebrite.

Secondo il CEO di Signal i problemi non sarebbero solo inerenti alla sicurezza, ma potrebbero essere anche legali: egli evidenzia infatti la presenza nei sistemi Cellebrite di due pacchetti firmati digitalmente da Apple e che paiono essere ricavati dall'installer di iTunes per Windows, nella versione 12.9.0.167 e che è improbabile che la Mela abbia concesso in licenza.

E' bene osservare che normalmente problemi di sicurezza di questo tipo, una volta scoperti, vengono rivelati privatamente alla parte interessata così che li possa risolvere, e solo successivamente viene fatta divulgazione pubblica. Signal ha forzato un po' la mano, e Marlinspike ha dichiarato: "Siamo ovviamente disposti a rivelare responsabilmente le vulnerabilità specifiche di cui siamo a conoscenza a Cellebrite, se loro fanno lo stesso per tutte le vulnerabilità che usano per l'estrazione di dati e per i servizi che rendono a terzi, ora e in futuro".

Oltre alla gravità della situazione, c'è un secondo aspetto meno immediato ma ugualmente sconcertante: fino ad ora, almeno secondo le informazioni ad oggi disponibili, nessuno si è mai preoccupato di verificare la sicurezza di un dispositivo che viene usato per recuperare prove chiave nel contesto di un'indagine.