O CEO do aplicativo de mensagens Signal afirma ter hackeado as ferramentas usadas pela polícia da Grã-Bretanha e outras forças policiais de todo o mundo para extrair informações de dispositivos apreendidos.
Moxie Marlinspike, pesquisador de segurança que fundou o Signal em 2013, detalhou em uma postagem online uma série de vulnerabilidades encontradas nos dispositivos de vigilância, feitos pela empresa israelense Cellebrite.
De acordo com Marlinspike, as falhas encontradas facilitam a implementação de código em um telefone que assumiria o hardware da Cellebrite quando está sendo usado para escanear o dispositivo.
Isso não apenas afetaria silenciosamente todas as investigações futuras, mas também reescreveria os dados que as ferramentas salvaram de análises anteriores.
Marlinspike tem criticado abertamente a Cellebrite desde que a empresa afirmou ser capaz de "quebrar a criptografia do Signal", uma afirmação que o hacker rejeitou.
As forças policiais de todo o mundo usam a tecnologia da Cellebrite para ajudar nas investigações digitais, especialmente quando conseguem se apossar de um dispositivo físico de propriedade de um suspeito ou pessoa de interesse.
Embora a Cellebrite tenha sido associada a tentativas de contornar dispositivos criptografados, a maioria de suas ferramentas são construídas para permitir que equipes forenses digitais extraiam informações de dispositivos desbloqueados e ligados e automatizem o tipo de pesquisas que teoricamente poderiam fazer manualmente no telefone em si.
Por meio de engenharia reversa de um dispositivo Cellebrite, Marlinspike afirma ter encontrado mais de 100 vulnerabilidades de segurança.
Uma delas poderia modificar "não apenas o relatório da Cellebrite sendo criado nessa varredura, mas também todos os relatórios anteriores e futuros gerados da Cellebrite de todos os dispositivos escaneados anteriormente e todos os dispositivos escaneados futuros."
"Qualquer aplicativo pode conter esse arquivo e, até que o Cellebrite consiga reparar com precisão todas as vulnerabilidades em seu software com extrema confiança, o único remédio que um usuário do Cellebrite tem é não fazer a varredura dos dispositivos", disse Marlinspike.
Ao ser acusado de que sua empresa colocou uma armadilha dentro de seu próprio aplicativo, Marlinspike acrescenta que "em notícias completamente não relacionadas, as próximas versões do Signal irão buscar arquivos periodicamente para colocar no armazenamento do aplicativo.
Esses arquivos nunca são usados para nada dentro do Signal e nunca interagem com o software ou dados do Signal, mas têm uma boa aparência e a estética é importante no software.
"A Cellebrite permite que os clientes protejam e salvem vidas, acelere a justiça e preservem a privacidade em investigações legalmente sancionadas. Temos políticas de licenciamento estritas que regem como os clientes têm permissão para usar nossa tecnologia e não vendemos para países sob sanção dos Estados Unidos, Israel ou da comunidade internacional em geral. A Cellebrite está comprometida em proteger a integridade dos dados de nossos clientes e continuamente auditamos e atualizamos nosso software para equipar nossos clientes com as melhores soluções de inteligência digital disponíveis.", disse a Cellebrite em comunicado.
Via: Signal
