Cellebrite e Signal estão, portanto, em lados opostos da frente ideológica. A solução da Cellebrite é usada por agências de aplicação da lei em todo o mundo para obter acesso a dados que os usuários gostariam de manter em sigilo, incluindo comunicações de sinais. O objetivo do Signal é garantir que a correspondência do chat não esteja disponível para ninguém além dos assinantes. O elo mais vulnerável nesta comunicação é o smartphone do usuário: se você tiver acesso ao dispositivo desbloqueado, poderá ver toda a correspondência. O criador do Signal obteve acesso ao dispositivo Cellebrite por meios desconhecidos e encontrou vulnerabilidades em seu software.
Como conseguiu pegar o aparelho, Moxie não explica, mais precisamente, explica vagamente: ele estava andando na rua, e aqui em você, um conjunto completo de análise de celulares está no asfalto. Naturalmente, os fabricantes dessas peças fornecem acesso a seus equipamentos apenas a organizações confiáveis, e a Signal não está entre elas. O pesquisador analisou um software que, com base no problema, inclui muitos analisadores de dados de diferentes aplicações. Em todos os casos, esses manipuladores são um terreno fértil para vulnerabilidades, e o conjunto de codecs ffmpeg é dado como exemplo. Essas bibliotecas são usadas pelo software de análise de multimídia do Cellebrite UFED, e Moxie descobriu uma versão de 2012 desatualizada. Desde então, mais de cem patches de segurança foram lançados para o ffmpeg.
Como resultado, sem muita dificuldade, Moxie encontrou uma vulnerabilidade que leva ao seguinte: se o complexo Cellebrite lê um arquivo "preparado" no telefone, torna-se possível substituir os dados no relatório gerado. E até mesmo alterar relatórios anteriores ou garantir alterações em relatórios futuros. Esta é uma dica de que Moxie foi capaz de obter controle total do software por meio de uma vulnerabilidade no analisador de dados. No final da publicação, Marlinspike relata que a última atualização do Signal messenger conterá um arquivo adicional que não tem absolutamente nenhum efeito na funcionalidade. O arquivo não é nada interessante, é recomendável não prestar atenção nele. Ou seja, é possível (embora não seja diretamente mencionado) que a análise do telefone com o Signal messenger instalado possa estragar os dados gerados pelo complexo de coleta de evidências.
E esta é, claro, uma história muito estranha. Primeiro, é comum relatar vulnerabilidades ao fabricante para que possam ser reparadas. Usá-los a seu favor é o lado negro. E o fato de você pessoalmente não gostar de software com vulnerabilidade por algum motivo não é um argumento para tais ações. Em segundo lugar, o que acontece - um exploit será distribuído com um mensageiro legítimo? Vamos supor que o criador do Signal estava brincando. Ou não? Em qualquer caso, este é um exemplo interessante de pressão moral sobre um adversário ideológico, embora completamente fora dos limites da ética hacker normal. Em geral, ele nos diz que vale a pena pensar na segurança mesmo daquelas ferramentas que são utilizadas muito além das linhas de proteção da rede corporativa. São eles que, em certas circunstâncias, podem revelar-se o elo mais fraco.
O que mais aconteceu
Investigação de vulnerabilidades em sistemas de segurança com triste resultado: problemas descobertos pelo Eye Security permitem desarmar uma sala remotamente. Mais de dez mil instalações (principalmente na Alemanha) foram afetadas, apenas mil corrigidas.
O programa de armazenamento de senhas Passwordstate foi hackeado e os atacantes distribuíram malware entre seus usuários. 29 mil clientes foram afetados. O esquema é clássico: o servidor de atualização foi comprometido, um arquivo executável modificado foi enviado por ele.
Encontrado e fechadoVulnerabilidade trivial no aplicativo para a rede social Clubhouse: a fundadora da Luta Security Katie Moussouris (Katie Moussouris) encontrou uma forma de permanecer na sala, sendo invisível para os moderadores, sem possibilidade de proibição. O ataque funcionou para os bate-papos de voz para os quais o usuário mal-intencionado foi admitido anteriormente.
Vazamentos de informações sobre laptops da Apple ainda não lançados geralmente não são um tópico de notícias sobre segurança de informações. Mas na semana passada, esses dados se espalharam pela rede como resultado de um ataque ao fornecedor da Apple, Quanta. Os organizadores do ataque pressionaram a organização afetada (ou a própria Apple) ao publicar algumas das informações roubadas em domínio público.
Mantenedor do kernel Linux Greg Kroah-Hartman bloqueou todos os commits da equipe da Universidade de Minnesota. Isso aconteceu após a publicação de um estudo no qual os autores (também funcionários da universidade) tentaram inserir um código vulnerável no kernel do Linux e avaliaram a capacidade de determinar a presença de erros. Resultado da pesquisa (fonte em PDF ): em 60% dos casos, o código da curva foi aceito.