> Forums > Securitytools & Programme
S
Signal-Entwickler hackt Spionagetools von FBI-Zulieferer Cellebrite
Erstellt
Apr. '21
|
letzte Antwort
Noch keine
|
Antworten
Noch keine
|
Aufrufe
2.6T |
0
„Gefällt mir“ |
Abos
Noch keine |
Do., 22. April, 2021 um 15:31
#1
Grobe Sicherheitslücken, illegal kopierter Code und Zweifel an der forensischen Verwertbarkeit - Video zeigt Einschmuggeln von Schadcode Der Signal-Erfinder Moxie Marlinspike hat sich die Spionagesoftware von Cellebrite näher angesehen. Und was er dort gefunden und jetzt in einem Blogeintrag öffentlich gemacht hat, dürfte dem Unternehmen wenig gefallen. Hat er doch eine Fülle an leicht ausnutzbaren Sicherheitslücken sowie strukturellen Defiziten entdeckt. Jenes Unternehmen, das sich gerne damit brüstet, die Smartphones praktisch aller Hersteller hacken zu können, scheint es also selbst mit der Sicherheit des eigenen Codes nicht sonderlich ernst zu nehmen. Dass es sich dabei nicht bloß um theoretische Defizite handelt, demonstriert Marlinspike mithilfe eines Videos. In diesem ist zunächst zu sehen, wie mit dem Cellebrite-Tool UFED ein iPhone analysiert werden soll. Dies geht allerdings gehörig nach hinten los. Durch eine speziell formatierte Datei auf dem Smartphone wird eine Sicherheitslücke in der Cellebrite-Software ausgenutzt, über die Schadcode auf den zur Analyse genutzten Rechner eingebracht werden kann. In diesem Fall hat sich Marlinspike allerdings darauf beschränkt, stattdessen einfach ein bekanntes Zitat aus dem Nerd-Klassiker "Hackers" anzuzeigen. Generell betont Marlinspike, dass UFED und ein zweites Celebrite-Tool namens "Physical Analyzer" selbst die grundlegendsten Sicherheitsmaßnahmen vermissen lassen. So ist in der Software eine Version der Audio-/Video-Konvertierungssoftware FFMPEG enthalten, die aus dem Jahr 2012 stammt. Das heißt, dass alleine hier mehr als hundert bekannte Sicherheitslücken zu finden sind, die einfach ausgenutzt werden könnten. Angesichts dessen verwundere es auch nicht, dass sämtliche Anti-Exploit-Maßnahmen, die in der Branche längst Standard sind, bei der Cellebrite-Software fehlen. Das Sicherheitskonzept der Firma scheint also zu sein, darauf zu hoffen, dass die eigenen Tools nie in die Hände von Dritten kommen - was nun als gescheitert anzusehen ist. Kommentare usw. bitte in der C&M News: https://ress.at/-news22042021153147.html ####################### |
|
Du hast bereits für diesen
Post abgestimmt...
;-)
https://t.ress.at/q6yvv/
Ähnliche Themen:
© by Ress Design Group, 2001 - 2024