Da quando Cellebrite fece un post al vetriolo denunciando quelle che agli occhi dei tecnici dell’azienda statunitense sembravano delle “leggerezze” nella gestione dei dati cifrati da parte dell’app di messaggistica Signal (vedere Cellebrite sostiene di aver violato la cifratura di Signal. L’autore parla invece di un inutile esercizio) i rapporti con Matthew Rosenfeld, alias Moxie Marlinspike, autore di Signal e dell’algoritmo che ne governa il funzionamento (usato per abilitare la cifratura end-to-end anche in WhatsApp) si sono fatti piuttosto tesi.
Moxie Marlinspike bollò lo “scoop” di Cellebrite come “la scoperta dell’acqua calda” spiegando che i dati degli utenti erano stati recuperati da Signal utilizzando uno smartphone Android sbloccato, non certo durante il trasferimento da un dispositivo all’altro. Nessuna vulnerabilità dell’algoritmo crittografico, quindi.
Cellebrite, lo ricordiamo, è l’azienda che fornisce a governi, forze di polizia e vari enti gli strumenti per forzare lo sblocco di iPhone e Android in modo da consentire l’estrazione e l’analisi dei dati memorizzati. Tra i clienti di Cellebrite vi sarebbero anche soggetti legati a regimi totalitari e nazioni in cui vige una forte dittatura.
Ecco, oggi Marlinspike è passato al contrattacco sostenendo di aver messo le mani su un kit “ultimo grido” offerto da Cellebrite ai suoi clienti: software aggiornati all’ultima versione, un vasto numero di cavi e adattatori per tutti i dispositivi sulla Terra (forse anche per quelli mai realizzati…) e un dongle per evitare copie non autorizzate degli strumenti.
Il crittografo ha voluto quindi porre sotto la lente il software di Cellebrite sostenendo che presenterebbe numerose lacune di sicurezza; tante falle che non ci si aspetterebbe di trovare in applicazioni di questo tipo. “Mancano le difese standard per la mitigazione degli exploit e sono presenti molte opportunità per lo sfruttamento delle falle lato software“, osserva Marlinspike.
Considerato il vasto numero di vulnerabilità irrisolte che secondo l’esperto sarebbero presenti nel software di Cellebrite, un aggressore può eseguire codice arbitrario semplicemente includendo un file appositamente formattato ma altrimenti innocuo in qualsiasi app su un dispositivo che viene successivamente collegato a Cellebrite e scansionato. “Non ci sono praticamente limiti al codice che può essere eseguito“, osserva. “Ad esempio, includendo un file appositamente formattato in un’app che viene poi scansionato da Cellebrite, è possibile eseguire codice che modifica non solo il report generato durante la scansione ma anche tutti i rapporti precedenti e futuri generati per tutti i dispositivi scansionati nel passato oppure in un momento successivo“.
Si possono alterare i dati in modo arbitrario (inserendo o rimuovendo testo, email, foto, contatti, file o qualsiasi altro dato), senza cambiamenti rilevabili e senza generare errori di checksum.
Gli sviluppatori di app hanno quindi l’opportunità di difendersi dalle analisi effettuate con il software Cellebrite e, soprattutto, soggetti terzi possono realizzare e immettere sul mercato strumenti software capaci di modificare a proprio piacimento qualunque report prodotto, evitando ad esempio l’esposizione di informazioni compromettenti. L’integrità dei dati raccolti e la correttezza dei report verrebbe così seriamente messa in discussione.
Non manca la stoccata finale a Cellebrite: “siamo ovviamente disposti a divulgare responsabilmente le informazioni sulle specifiche vulnerabilità delle quali siamo a conoscenza a patto che l’azienda si comporti allo stesso modo per tutte le vulnerabilità utilizzate ai fini dell’estrazione dei dati dai vari dispositivi mobili, ora e in futuro“.