Cellebrite: le PDG de Signal trouve des failles dans un logiciel qui piratait son application

0

Le logiciel développé par la société d’extraction de données Cellebrite contient des vulnérabilités qui permettent l’exécution arbitraire de code sur l’appareil, affirme Moxie Marlinspike, le créateur de l’application de messagerie chiffrée Signal.

Les produits de Cellebrite sont couramment utilisés par la police et les gouvernements pour déverrouiller les téléphones iOS et Android et extraire leurs données. En Décembre dernier, l’entreprise a annoncé que son Physical Analyzer avait également donné accès aux données de Signal.

Le PDG de Signal lance sa contre-attaque contre Cellebrite

Dans un article de blog publié la semaine dernière, Marlinspike, un cryptographe et chercheur en sécurité, a déclaré que le logiciel de Cellebrite fonctionne en analysant des données qui proviennent d’une source non fiable.

Cela signifie qu’il accepte les entrées qui peuvent ne pas être formatées correctement, ce qui pourrait déclencher une vulnérabilité de corruption de mémoire qui conduit à l’exécution du code sur le système.

En raison de ce risque, on pourrait supposer que le développeur a été suffisamment prudent pour mettre en place des protections ou utiliser du code qui n’est pas sensible aux vulnérabilités.

« En regardant à la fois UFED et Physical Analyzer, nous avons été surpris de constater que très peu de soins semblent avoir été donnés à la sécurité logicielle de la part de Cellebrite. Il manque des défenses d’atténuation et d’exploitation qui sont des standards de l’industrie, et de nombreuses possibilités d’exploitation sont présentes. »

Moxie Marlinspike

De plus, le chercheur a constaté que le logiciel de Cellebrite avait du code open source ancien qui n’avait pas été mis à jour depuis près d’une décennie, malgré les mises à jour de sécurité disponibles.

Explorant les possibilités d’exploitation, Marlinspike a constaté qu’il pouvait exécuter du code arbitraire sur une machine Cellebrite lorsqu’elle analysait un fichier spécialement formaté sur un appareil que la machine scannait.

« Par exemple, en incluant un fichier spécialement formaté mais autrement inoffensif dans une application sur un appareil qui est ensuite scanné par Cellebrite, il est possible d’exécuter du code qui modifie non seulement le rapport Cellebrite en cours de création dans cette analyse, mais aussi tous les rapports Cellebrite générés précédemment et dans le futur à partir de tous les appareils scannés précédemment et tous les futurs appareils scannés d’une manière arbitraire (insérer ou supprimer du texte , e-mail, photos, contacts, fichiers ou toute autre donnée), sans changements de temps détectables ou défaillances de checksum. » a expliqué Moxie Marlinspike.

Le chercheur a fournit la preuve du succès de l’exploitation de l’UFED en publiant le produit de Cellebrite qui permet de recueillir des preuves provenant de sources allant des appareils mobiles à des applications sur les réseaux sociaux.

La charge utile utilise l’API MessageBox de Windows pour délivrer un message emblématique de la culture hacker :

signal cellebrite

« MESS WITH THE BEST, DIE LIKE THE REST. HACK THE PLANT! » fait référence au film Hackers(1995).

Un autre point intéressant est que Marlinspike dit dans l’installateur pour l’analyseur de paquets qu’il a trouvé des paquets MSI avec une signature numérique d’Apple.

Ceux-ci semblent extraits de l’installateur Windows du logiciel iTunes 12.9.0.167 et contiennent des fichiers DLL qui aident le programme de Cellebrite à interagir avec les appareils iOS et à en extraire des données.

Bien que cela était loin d’être un protocole de divulgation responsable, Marlinspike dit qu’il fournira à Cellebrite les détails des vulnérabilités si l’entreprise fait de même pour toutes les questions de sécurité qu’elle exploite pour les services d’extraction physique « maintenant et à l’avenir ».

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.