Mercredi, Marlinspike a publié un article faisant état de vulnérabilités dans le logiciel Cellebrite qui lui ont permis d'exécuter un code malveillant sur l'ordinateur Windows utilisé pour analyser les appareils. Le chercheur et ingénieur logiciel a exploité les vulnérabilités en chargeant des fichiers spécialement conçus qui peuvent être intégrés dans n'importe quelle application installée sur l'appareil.
Pratiquement sans limites
"Il n'y a pratiquement aucune limite au code qui peut être exécuté", écrit Marlinspike.
Il ajoute :
Par exemple, en incluant un fichier spécialement conçu mais autrement inoffensif dans une application sur un appareil qui est ensuite scanné par Cellebrite, il est possible d'exécuter un code qui modifie non seulement le rapport Cellebrite créé dans ce scan, mais aussi tous les rapports Cellebrite précédents et futurs générés à partir de tous les appareils précédemment scannés et de tous les appareils futurs scannés de n'importe quelle manière arbitraire (en insérant ou en supprimant du texte, des e-mails, des photos, des contacts, des fichiers ou toute autre donnée), sans changement d'horodatage détectable ou d'échec de contrôle checksum. Cela pourrait même être fait au hasard, et remettrait sérieusement en question l'intégrité des données des rapports de Cellebrite.
Cellebrite fournit deux logiciels : L'UFED qui brise les verrous et les protections de chiffrement pour collecter les données supprimées ou cachées, et un analyseur physique séparé qui découvre les preuves numériques ("événements de trace").
Pour faire leur travail, les deux logiciels de Cellebrite doivent analyser toutes sortes de données non fiables stockées sur le dispositif analysé. En règle générale, les logiciels qui ont une telle polyvalence sont soumis à toutes sortes de mesures de renforcement de la sécurité afin de détecter et de corriger toute corruption de mémoire ou vulnérabilité d'analyse qui pourrait permettre aux pirates d'exécuter un code malveillant.
"En examinant à la fois UFED et Physical Analyzer, nous avons été surpris de constater que très peu d'attention semble avoir été accordée à la sécurité du logiciel de Cellebrite", écrit Marlinspike. "Les défenses d'atténuation des exploits conformes aux normes de l'industrie sont absentes, et de nombreuses opportunités d'exploitation sont présentes."
Intégrité compromise
Un exemple de ce manque de durcissement était l'inclusion de fichiers DLL Windows pour un logiciel de conversion audio/vidéo connu sous le nom de FFmpeg. Le logiciel a été développé en 2012 et n'a pas été mis à jour depuis. Marlinspike a déclaré que depuis neuf ans, FFmpeg a reçu plus de 100 mises à jour de sécurité. Aucun de ces correctifs n'est inclus dans le logiciel FFmpeg fourni avec les produits Cellebrite.
Marlinspike a inclus une vidéo qui montre UFED en train d'analyser un fichier qu'il a conçu pour exécuter un code arbitraire sur le périphérique Windows. La charge de code utilise l'API Windows MessageBox pour afficher un message bénin, mais Marlinspike a déclaré qu'"il est possible d'exécuter n'importe quel code, et une véritable charge utile de code d'exploitation pourrait chercher à modifier de manière indétectable les rapports précédents, à compromettre l'intégrité des rapports futurs (peut-être au hasard !), ou à exfiltrer des données de la machine Cellebrite".
Marlinspike dit avoir également trouvé deux paquets d'installation MSI qui sont signés numériquement par Apple et semblent avoir été extraits du programme d'installation Windows pour iTunes. Marlinspike se demande si cette inclusion constitue une violation des droits d'auteur d'Apple. Apple n'a pas immédiatement fait de commentaire à ce sujet.
Dans un courriel, un porte-parole de Cellebrite a écrit : "Cellebrite s'engage à protéger l'intégrité des données de nos clients, et nous vérifions et mettons à jour continuellement nos logiciels afin d'équiper nos clients des meilleures solutions d'intelligence numérique disponibles." Le porte-parole n'a pas précisé si les ingénieurs de l'entreprise étaient au courant des vulnérabilités détaillées par Marlinspike ou si l'entreprise avait l'autorisation de regrouper les logiciels Apple.
Marlinspike a déclaré avoir obtenu le matériel Cellebrite par une "coïncidence vraiment incroyable", alors qu'il marchait et "a vu un petit paquet tomber d'un camion devant moi". L'incident semble vraiment incroyable. Marlinspike a refusé de fournir des détails supplémentaires sur la manière précise dont il est entré en possession des outils Cellebrite.
La phrase "tombé d'un camion" n'était pas la seule déclaration ironique du post. Marlinspike a également écrit :
Dans une nouvelle qui n'a rien à voir, les prochaines versions de Signal iront périodiquement chercher des fichiers pour les placer dans le stockage de l'application. Ces fichiers ne sont jamais utilisés pour quoi que ce soit dans Signal et n'interagissent jamais avec le logiciel ou les données de Signal, mais ils sont sympas, et l'esthétique est importante dans les logiciels. Les fichiers ne seront renvoyés que pour les comptes qui ont été des installations actives depuis un certain temps déjà, et seulement de manière probabiliste dans de faibles pourcentages basés sur le partage des numéros de téléphone. Nous avons quelques versions différentes de fichiers que nous pensons être esthétiquement agréables, et nous les ferons évoluer lentement au fil du temps. Il n'y a aucune autre signification à ces fichiers.
Ces vulnérabilités pourraient permettre aux avocats de la défense de contester l'intégrité des rapports d'expertise générés à l'aide du logiciel Cellebrite. Les représentants de Cellebrite n'ont pas répondu à un courriel leur demandant s'ils étaient au courant des vulnérabilités ou s'ils avaient des plans pour les corriger.
"Nous sommes bien sûr disposés à divulguer de manière responsable les vulnérabilités spécifiques dont nous avons connaissance à Cellebrite s'ils font de même pour toutes les vulnérabilités qu'ils utilisent dans leur extraction physique et autres services à leurs fournisseurs respectifs, maintenant et à l'avenir", a écrit Marlinspike.
Mise à jour de l'article pour ajouter les quatrième et troisième avant-derniers paragraphes et pour ajouter le commentaire de Cellebrite.
source :
https://arstechnica.com/information-technology/2021/04/in-epic-hack-signal-developer-turns-the-tables-on-forensics-firm-cellebrite/