Artikel top billede

Topchef for omdiskuteret privacy-app finder sårbarhed i politiets hacker-værktøj

Stifteren bag besked-appen Signal har fået fingre i en taske fra det israelske firma Cellebrite, der udvikler værktøjer til politistyrker over hele verden. Indholdet af tasken har afsløret en række svagheder i Cellebrites-værktøjer, forklarer han.

Politistyrker over hele verden gør brug af israelske firma Cellebrites-værktøjer, når de skal åbne krypterede iPhones.

Men nu hævder den privacy-fokuserede chat-app Signal, at den har identificeret en række sårbarheder i Cellebrites egen software.

”Vi var overraskede over at opdage, at Cellebrites tilsyneladende kun i meget ringe grad gør noget for at opretholde et højt sikkerhedsniveau i sin egen software,” skriver kryptograf og stifter af Signal, Moxie Marlinspike, i et blogindlæg.

Læs også: Apple spænder ben for politiet: Gør værktøj til at få adgang til iPhone-data ubrugelig

Tidligere været på kant

Cellebrite har tidligere været på kant med netop Signal, fordi Cellebrites hævder, at selskabets værktøjer kan give myndigheder adgang til beskeder og data fra Signal.

Derudover det israelske selskab også været udsat for kritik, fordi det ifølge Reuters også har haft solgt sine værktøjer til Kina, Rusland og andre autoritære regimer.

Med Cellebrites værktøjer i hånden kan politi og sikkerhedstjenester blandt andet få adgang til opkaldshistorik, tekstbeskeder og andre data fra smartphonen.

Det betyder blandt andet, at myndigheder kan få adgang til data fra Apples iPhones, der ellers holder et så højt sikkerhedsniveau, at det tidligere har været en udfordring myndighederne at få adgang til data fra telefonerne.

Læs også: Sådan kan FBI have hacket omstridt iPhone

Det menes eksempelvis, at det amerikanske forbundspoliti FBI gjorde brug af Cellebrites værktøjer, da det for flere år siden lykkedes for dem at få adgang til indhold på en terrormistænkts iPhone.

En sag der fik stor opmærksomhed, da Apple i forbindelse med sagen nægtede at give de amerikanske myndigheder en bagdør til sine enheder.

Ekstraordinært tilfælde

Moxie Marlinspike hævder, at han ved et helt ekstraordinært tilfælde faldt over det tophemmelige værktøj, da han for nylig var på en gåtur.

”Ved et helt utroligt tilfælde, var jeg for nylig ude at gå en tur, da jeg så en lille pakke falde af en lastbil foran mig,” siger han.

Du må selv afgøre, om du tror på den del af historien.

Men ikke desto mindre har Signal-stifteren haft adgang til værktøjet, og han har lagt billede ud af en Cellebrite-taske med værktøjet i.

Læs også: FBI tvangsåbner iPhone uden om Apple - dropper retssag mod Apple

Masser af adaptere

På billedet kan man se, at tasken blandt andet indeholder et væld af forskellige ledninger og adaptere.

Derudover gemmer tasken også på en hardware-dongle, der sammen med et stykke software gør det muligt at bryde ind i krypterede telefoner.

Moxie Marlinspike forklarer i blogindlægget, at han har analyseret Cellebrites værktøj og fundet en række svagheder, der ville gør det muligt at sabotere enhederne.

Han hævder, at det eksempelvis vil være let at placere en specialudviklet fil på en telefon, der kan saboterer brugen af Cellebrites software.

”Vi fandt ud af, at det var muligt at eksekvere arbitrær kode på en Cellebrite-maskine ved blot at inkludere en særligt formateret, men ellers harmløs fil på en enhed, der efterfølgende blev tilsluttet og skannet af Cellebrite-udstyr. Der er praktisk talt ingen begrænsninger for, hvilken kode der kan blive eksekveret,” skriver han på Signals blog.

Samtidig hævder han, at han også har fundet dele af koden fra Apple i softwaren, hvilket ifølge ham kan udgøre en juridisk risiko for selskabet.

Moxie Marlinspike skriver, at Signal er villige til at dele sin viden om sårbarheder i Cellebrites software med det israelske firma, hvis Cellebrite til gengæld også vil dele de sårbarheder, som selskabet selv undnytter for at få adgang til data på telefoner og andre typer enheder.

Læs også: Hollandsk politi hacker krypteret smartphone: Sådan har det kunnet lade sig gøre



Premium
Ikke mange kender VMware - men danske it-professionelle er ret vilde med selskabet
Computerworld Image 2021 VMware sidder ikke inde med det mest velkendte brand i Danmark, men alligevel ryger selskabet til tops i årets image-undersøgelse. Virtualiserings-giganten høster nemlig anerkendelse på en række afgørende parametre.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Udnyt ressourcerne bedre og skru op for overskuddet
Spildt arbejde, ineffektive processer og ringe forretningsindsigt er blot tre tegn på ringe ressourceudnyttelse. I dette whitepaper får du viden om, hvordan du måler ressourceudnyttelsen – og bruger indsigten operationelt, taktisk og strategisk.