Security Week 17: уязвимости в оборудовании для взлома телефонов

Интереcная новость прошлой недели — исследование создателя защищенного мессенджера Signal Мокси Марлинспайка (Moxie Marlinspike), посвященное инструменту для скачивания данных со смартфонов компании Cellebrite. Данный инструмент состоит из железа для подключения к различным смартфонам, другим мобильным устройствам и софта под Windows. «Взломом» в классическом понимании этот комплекс не занимается: Мокси сравнивает его работу с действиями сотрудника полиции, который берет ваш разлоченный телефон и переписывает все сообщения из мессенджеров. Естественно, комплекс эту задачу автоматизирует.



Cellebrite и Signal, таким образом, находятся по разные стороны идеологического фронта. Решение Cellebrite используется правоохранительными органами в разных странах для получения доступа к данным, которые пользователь хотел бы сохранить в тайне, в том числе к переписке в Signal. Цель Signal — сделать так, чтобы переписка в чате не была доступна никому, кроме абонентов. Самое уязвимое звено в этой коммуникации — смартфон пользователя: если получить доступ к разлоченному девайсу, можно увидеть всю переписку. Создатель Signal неведомыми путями получил доступ к устройству Cellebrite и нашел уязвимости в его софте.
Читать дальше →

Источник: Хабрахабр