image

Advocaat wil nieuw proces wegens blogpost over lek in Cellebrite-tool

woensdag 28 april 2021, 16:00 door Redactie, 3 reacties

Een Amerikaanse advocaat wil dat zijn cliënt een nieuw proces krijgt vanwege een blogpost over beveiligingslekken in een forensische tool van Cellebrite waar opsporingsdiensten van gebruikmaken. Volgens advocaat Ramon Rozas speelde bewijsmateriaal dat via de Cellebrite-tool werd verkregen een zeer belangrijke rol bij de veroordeling van zijn cliënt.

Vorige week toonde Moxie Marlinspike, directeur van softwarebedrijf Signal, dat tevens de gelijknamige chatapp ontwikkelt, dat er allerlei kwetsbaarheden in de software van Cellebrite aanwezig zijn. Cellebrite biedt opsporingsdiensten onder andere de Universal Forensic Extraction Device (UFED) en Physical Analyzer. Via de UFED kan er een back-up van de te onderzoeken telefoon worden gemaakt, die vervolgens via de Physical Analyzer is te analyseren.

Een aanvaller kan misbruik van de kwetsbaarheden maken door een speciaal geprepareerd bestand op een telefoon te plaatsen. Zodra het bestand door de Cellebrite-tool wordt ingelezen maakt een exploit in het bestand het mogelijk om code op de Cellebrite-machine uit te voeren. Zo is het mogelijk om het onderzoeksrapport dat de tool op dat moment genereert aan te passen, maar ook alle eerder gemaakte en nog te maken rapporten in de toekomst. Een aanvaller kan zo bestanden uit de rapporten verwijderen of toevoegen, zonder dat dit via aanpassingen aan timestamps of checksumfouten zichtbaar is.

Marlinspike maakte geen technische details van de kwetsbaarheden openbaar. Afgelopen maandag kwam Cellebrite met een update waarin het stelt dat een recent gevonden lek is verholpen, zo meldt Vice Magazine. Of het gaat om de kwetsbaarheden die Marlinspike heeft gevonden is onbekend.

De blogpost was aanleiding voor Rozas om een motie in te dienen waarin hij om een nieuw proces voor zijn cliënt vraagt, zo laat hij tegenover Gizmodo weten. De advocaat stelt dat er "ernstige fouten" in de technologie zijn gevonden en dat de verdediging, in het licht van de recente ontwikkelingen, de kans moet krijgen om het rapport te onderzoeken dat via de Cellebrite-tool werd gegenereerd en de machine zelf.

Reacties (3)
28-04-2021, 18:04 door Anoniem
makkelijk te debunken lijkt me; kijken of die specifieke exploits op de telefoon aanwezig zijn. (reken maar dat ze die nog hebben)
Of met een nieuwe UFED versie het onderzoek reproduceren in een later stadium.
28-04-2021, 22:04 door buttonius
Door Anoniem 18:04: makkelijk te debunken lijkt me; kijken of die specifieke exploits op de telefoon aanwezig zijn. (reken maar dat ze die nog hebben)
Of met een nieuwe UFED versie het onderzoek reproduceren in een later stadium.
Het is, in principe, mogelijk een exploit te ontwikkelen die ook de data op de telefoon verbouwt. Daarbij kan de exploit zichzelf laten verwijderen. Dan kun je met een nieuwere (gepatchte versie) van de Cellebrite software ook niets meer bewijzen.
29-04-2021, 02:46 door Anoniem
Door buttonius:
Door Anoniem 18:04: makkelijk te debunken lijkt me; kijken of die specifieke exploits op de telefoon aanwezig zijn. (reken maar dat ze die nog hebben)
Of met een nieuwe UFED versie het onderzoek reproduceren in een later stadium.
Het is, in principe, mogelijk een exploit te ontwikkelen die ook de data op de telefoon verbouwt. Daarbij kan de exploit zichzelf laten verwijderen. Dan kun je met een nieuwere (gepatchte versie) van de Cellebrite software ook niets meer bewijzen.

Een exploit is niet meer dan een bug die misbruikt kan worden. Maar zoals je zegt kan malware]/b] zowel de exploit misbruiken als zichzelf verwijderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.