Izraelska firma za digitalnu obaveštajnu delatnost Cellebrite prodaje softver koji je namenjen otključavanju mobilnih telefona i izvlačenju podataka iz njih. Zbog toga su proizvodi kompanije izuzetno zanimljivi i prilično traženi među agencijama za sprovođenje zakona širom Sjedinjenih Država, a policija ih često koristi za prikupljanje dokaza sa zaplenjenih uređaja. Od kada je kompanija počela da nudi svoje proizvode, pretrpela je oštre kritike zbog toga što je bila spremna da ih proda skoro svakoj državnoj vladi, uključujući i one koje upravljaju represivnim režimima širom sveta. Međutim, iako je odlučna u svojoj nameri da ugrozi bezbednost pametnih telefona, izgleda da se kompanija uopšte ne bavi bezbednošću sopstvenog softvera, ako je verovati izvršnom direktoru Signala, vrlo popularne aplikacije za ćaskanje, ponosne na svoj proces šifrovanja.
U objavi na blogu koja se pojavila u sredu, Moksi Marlinspajk je tvrdio da softver kompanije Cellebrite ima jezivo lošu zaštitu kojom može lako da se manipuliše na brojne i prilično zapanjujuće načine.
„Iznenadili smo se kad smo otkrili da je kompanija izgleda vrlo malo pažnje posvetila zaštiti bezbednosti sopstvenog softvera. Naime, ne ispunjava osnovne utvrđene standarde za zaštitu od napada i za ublažavanje njihovih posledica i postoje mnogobrojne mogućnosti za zloupotrebu takvih slabosti programa“, napisao je Marlinspajk. „Dok Cellebrite ne bude u stanju da u potpunosti popravi sve ranjivosti u svom softveru, korisniku kompanijinog softvera ne preostaje ništa drugo nego da ne skenira uređaje, odnosno, da ne koristi softver.“
Među mnogim smelim tvrdnjama koje su iznete u objavi na blogu, Marlinspajk kaže da bi neko zbog bezbednosnih propusta mogao, u suštini, da prepiše sve podatke koje prikupljaju alati kompanije Cellebrite . Na primer, jedinstveno konfigurisana datoteka mogla bi da se ubaci u bilo koju aplikaciju na ciljanom uređaju, što omogućava promenu svih podataka koje je prikupio или koje će prikupiti softver kompanije Cellebrite .
Takva datoteka može da izmeni podatke „na bilo koji proizvoljan način (umetanjem или uklanjanjem teksta, e-pošte, fotografija, kontakata, datoteka или bilo kojih drugih podataka), bez uočljivih promena vremenskih žigova или grešaka u kontrolnom zbiru“, navodi Marlinspajk u blogu i nastavlja: „S obzirom na to koliko su nam mogućnosti pružile slabosti softvera, otkrili smo da je moguće izvršiti proizvoljan kôd na Cellebrite mašini jednostavnim uključivanjem posebno formatirane, ali inače bezopasne datoteke, u bilo koju aplikaciju na uređaju koji je naknadno priključen na Cellebrite i skeniran. Praktično, možete da izvršite bilo koji kôd koji zamislite.“
U blogu se nalazi i video-sadržaj začinjen scenama iz filma Hakeri, koji pokazuje koliko je jednostavno zloupotrebiti softver kompanije Cellebrite . Problem postaje još ozbiljniji, jer se u objavi pojavljuje još jedna prilično smela tvrdnja. Naime, u blogu se ističe da se u softveru kompanije Cellebrite nalazi kôd koji je očigledno intelektualna svojina kompanije „Epl“, za šta Marlinspajk kaže da bi „mogao da predstavlja pravni rizik za Cellebrite i njegove korisnike“. Drugim rečima, Cellebrite možda prodaje kôd koji pripada njenom najvećem konkurentu.
Ako su sva ta otkrića tačna, onda bi kompanija mogla da da se suoči sa vrlo ozbiljnim posledicama. Ako pretpostavimo da bi neko mogao bez bilo kakvih prepreka da upadne u softver kompanije i potpuno izmeni podatke koje policija prikuplja, koliko onda institucije koje sprovode zakon mogu da budu sigurne da su podaci koje prikupljaju tačni i ispravni? Kakve bi pravne posledice imali slučajevi koji su zavisili od softvera Cellebrite , ako je zaštita njegove bezbednosti zaista tako slaba? Svaki pojedinac u čijem se slučaju koristio softver kompanije Cellebrite , verovatno bi odmah trebalo da pozove svog advokata.
Činjenica da je Marlinspajk javno obelodanio bezbednosne nedostatke – i to pre nego što je upozorio kompaniju na njih, što je uobičajeni postupak u oblasti zaštite bezbednosti – definitivno bi moglo da se smatra oštrom kritikom ili, još gore, otvorenim i direktnim napadom. To ne bi trebalo da nas čudi i mogli bismo da kažemo da je takav Marlinspajkov postupak, u stvari, odgovor na nedavne tvrdnje kompanije Cellebrite da može da otkrije Signalovo šifrovanje, što se sigurno nije dopalo direktoru. Štaviše, čini se da na kraju objave na blogu, izvršni direktor Signala indirektno nagoveštava da Signal ubuduće planira da spamuje Cellebrite nekom vrstom datoteka koje liče na zlonamerni softver: „Da, i samo da napomenem da će naredne verzije Signala povremeno preuzimati datoteke i stavljati ih u skladište aplikacije. Te datoteke se nikada ne koriste za bilo šta u Signalu i nikada nisu u interakciji sa Signalovim softverom или podacima, ali izgledaju lepo, a estetika je važna u softveru … Imamo nekoliko različitih verzija datoteka za koje smatramo da su estetski prijatne i da će ponavljati polako tokom vremena. Te datoteke nemaju neki poseban značaj.“