Hacking | Signal

Hacker hacknul hackery. Autor Signalu prolomil nástroj využívaný policií

Zakladatel Signalu Moxie Marlinspike názorně předvedl, jak „kovářova kobyla chodí bosa“. Náhodou* se mu do rukou dostal kufřík s nástroji společnosti Cellebrite, které mají za úkol prolomit zabezpečení smartphonů. Jenže ony samotné prý vlastní zabezpečení ignorují a je možné jimi manipulovat či je učinit nepoužitelnými.

Software izraelské společnosti využívají mj. policie a úřady v Rusku, Číně, Bělorusku, Myanmaru i dalších zemích, kde se příliš nehledí na svobodu občanů. Cellebrite umí do počítače stáhnout kompletní zálohy telefonů s Androidem a iOS a následně z nich extrahovat užitečná data. K záloze slouží program UFED, k extrakci pak Physical Analyzer. (Nástroje fungují jen s připojeným mobilem, nikoliv vzdáleně.)

Marlinspike zjistil, že ale samy trpí řadou zranitelností, které je možné snadno zneužít. Jako příklad dává zastaralé multimediální knihovny ffmpeg z roku 2012, které už od té doby dostaly přes sto záplat, ale Physical Analyzer je neobsahuje.

Autor Signalu tvrdí a ukazuje, že je možné do mobilní aplikace podstrčit soubor, na který když Physical Analyzer narazí, tak jím poškodí, či dokonce nedetekovatelně pozmění dřívější i budoucí výstupy, které nástroj poskytuje. Cellebrite ani za běžného stavu nemůže zaručit, že jím extrahovaná data jsou opravdu správná. Když jej ale napadne malware, mohl by generovat úplně náhodné výstupy tvářící se jako původní.

Marlinspike říká, že je ochotný izraelské společnosti prozradit, jaké zranitelnosti obsahuje, pokud ona sama učiní totéž a sdělí tvůrcům mobilních systémů a aplikací, jaké díry zneužívá u nich. To ale spíš jen vědomě dráždí, protože bez zranitelností by utrpěl byznys Cellebritu. Firma se pro Mashable vyjádřila, že bezpečnost bere vážně, provádí pravidelné audity a software aktualizuje. Blíž ale zjištění Marlinspika nekomentovala.

Klepněte pro větší obrázek
Hackovací kufřík Cellebritu (foto: Moxie Marlinspike / Signal)

Ten mimochodem také zjistil, že Cellebrite nejspíš také porušuje autorská práva, neboť k aplikacím přibaluje instalační soubory extrahované z iTunes pro Windows. Apple k tomu zřejmě nedal svolení.

Až příliš velká náhoda?

Moxie Marlinspike se do křížku se Cellebrite dostal už loni v prosinci. Společnost tehdy tvrdila, že už umí rozlousknout také data Signalu. Média to ale pak špatně interpretovala a tvrdila, že je možné kompromitovat šifrovanou komunikaci.

To nebyla pravda. Cellebrite opět jen extrahoval data. K tomu potřebuje fyzický přístup k odemčenému telefonu. Kdo jej má, ten může s mobilem dělat cokoliv. Cellebrite pouze automatizuje činnosti, které by jinak policie nebo jiný její zákazník musel dělat ručně.

Podruhé s Izraelci přišel do styku letos, když si prý při procházce všiml, že z jedoucího náklaďáku vypadl kufřík. A ten na sobě nesl logo Cellebrite. Vypadá to jako přitažené na vlasy. Kolikrát z jedoucího vozu něco vypadne? Jak často se nádobíčko ztrácí Cellebritu? A jaká je šance, že ten kufřík vypadne zrovna před člověkem, který je vůči Cellebritu zaujatý? Mnoho náhod najedou.

 

Co umí z mobilů vydolovat Cellebrite?

  • kontakty
  • SMS/MMS
  • historii hovorů
  • historii polohy
  • kalendář
  • fotky a videa
  • obecné soubory
  • data z prohlížečů
  • e-maily
  • chaty z vybraných IM aplikací
  • vyzváněcí tóny
  • reklamní profily
 
Diskuze (22) Další článek: „OK, Google“: Praktické příklady, jak vám hlasový Asistent zpříjemní život

Témata článku: Apple, Windows, Android, iOS, Čína, Hacking, Rusko, iTunes, SMS, Policie, Signal, Data, Zranitelnost, Kufřík, FFmpeg, Mashable, Bělorusko, Autorská práva, Hacker, Pro, Nástroj, Aplikace, Bernard, Myanmar, Kobyla, Produkty Apple na jednom místě - Heureka.cz



Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Nejlepší filmy na Netflixu v roce 2022. Všechny mají český dabing nebo titulky

Nejlepší filmy na Netflixu v roce 2022. Všechny mají český dabing nebo titulky

Tyto filmy byly v roce 2022 na českém Netflixu nejoblíbenější. Nerozlišujeme žánr, stáří ani hodnocení na filmových webech. Jde o oblíbenost, kterou sleduje web FlixPatrol a počítá z ní souhrnné žebříčky.

Ondřej Králík
Netflix
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Telefon jako kapesní skener v klubech. Vědci přišli se snadnou metodou pro detekci drog v nápojích

Telefon jako kapesní skener v klubech. Vědci přišli se snadnou metodou pro detekci drog v nápojích

** Drogy nasypané do nápojů jsou stále velkým problémem ** Jejich odhalení a dokázání je časově i technicky velmi náročné ** K detekci GHB v nápoji nově poslouží jakýkoliv smartphone

Martin Chroust
StudieDrogySmartphony
Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

** Dnešní telefony se předhánějí v tom, který z nich bude větší ** Malé telefony na trhu skoro vyhynuly... ** Čínská značka si připravila telefon do dlaně s třípalcovým displejem

Martin Chroust
InfraportKompaktní velikostSmartphony