El CEO de Signal piratea la herramienta de descifrado Cellebrite

La firma israelí de inteligencia digital Cellebrite, vende software diseñado para desbloquear teléfonos y extraer sus datos.

Como resultado de ello, sus productos son los favoritos de muchas de las agencias de seguridad más importantes del mundo, como por ejemplo: De la agencia policial de EE. UU.

La policía usa las aplicaciones de Cellebrite con mucha frecuencia con el objetivo de recopilar pruebas de los dispositivos incautados.

En el pasado, la empresa ha recibido críticas por su disposición a vender a prácticamente cualquier gobierno, incluidos los regímenes represivos de todo el mundo.

Sin embargo, a pesar de su misión de comprometer la seguridad de cualquier teléfono; la empresa Cellebrite parece tener poco interés en proteger su propio software.

El CEO de la aplicación de chat encriptada Signal, Moxie Marlinspike, afirmó que el software de Cellebrite tiene una seguridad atroz y que puede ser manipulado fácilmente de varias formas diferentes.

“Nos sorprendió descubrir que parece que se ha prestado muy poca atención a la seguridad del software de Cellebrite. Faltan las defensas de mitigación de exploits estándar de la industria y existen muchas oportunidades de explotación en sus aplicaciones”, declaró Marlinspike.

“Hasta que Cellebrite sea capaz de reparar con precisión todas las vulnerabilidades en su software con una confianza extremadamente alta, el único remedio que tiene un usuario de Cellebrite es no escanear sus dispositivos”.

Entre muchas afirmaciones descabelladas hechas en el blog, Marlinspike dice que debido a fallas de seguridad, alguien podría básicamente volver a escribir todos los datos que recopilan las herramientas de Cellebrite.

Hipotéticamente, un archivo configurado de forma única podría deslizarse en cualquier aplicación en un dispositivo específico, lo que permite la alteración de todos los datos que el software de Cellebrite ha recopilado o recopilará.

Dicho archivo podría alterar los datos “de cualquier manera arbitraria (insertando o eliminando texto, correo electrónico, fotos, contactos, archivos o cualquier otro dato) sin cambios detectables en las marca de tiempo o fallas en la suma de verificación.

El blog incluso incluye un video, combinado con escenas de la película Hackers , que muestra la facilidad con la que se puede secuestrar el software de Cellebrite.

Además, en el blog se hace otra afirmación bastante interesante: “Código que aparentemente es propiedad intelectual de Apple aparece dentro del software de Cellebrite”, algo que Marlinspike dice que podría presentar un riesgo legal para Cellebrite y sus usuarios.

En otras palabras, Cellebrite podría estar vendiendo código que pertenece a uno de sus mayores adversarios.

Si todas estas revelaciones son ciertas, podría tener consecuencias importantes para Cellebrite.

Si asumimos que es realmente así de fácil para alguien entrar en el software de la empresa y alterar drásticamente los datos que la policía está recopilando:

  • ¿Qué tan segura puede estar la policía de que la evidencia de que lo que están recolectando es realmente cierto?
  • ¿Cuáles serían las ramificaciones legales para los casos que han dependido el software de Cellebrite, si su seguridad es realmente tan insignificante?

Cualquiera que haya estado involucrado en un caso que utilizó este software probablemente debería llamar a su abogado buscando la revisión de su caso.

El hecho de que Marlinspike haya revelado públicamente estas preocupaciones de seguridad y lo haya hecho sin revelarlo previamente a Cellebrite, como es la práctica estándar de la industria; definitivamente podría verse como un golpe bajo tras las recientes afirmaciones de Cellebrite, afirmando de que son capaces de descifrar el cifrado utilizado por la aplicación Signal.

Para colmo, el CEO de Signal, termina su blog dejando el recado de que Signal podría planear enviar spam a Cellebrite con algún tipo de archivos de malware en el futuro.

El panorama está interesante, cojan palomitas que esto promete no quedarse aquí. ?

Fuente: Signal Blog por Moxie Marlinspike

Relacionados
Salir de la versión móvil