Cep telefonu hackleme şirketi Cellebrite, güvenli mesajlaşma uygulaması Signal‘e erişmenin bir yolunu bulduğunu söyledikten sonra, Signal bir blog gönderisinde durumu tersine çevirdiğini söyledi. Uygulamanın yaratıcısı Moxie Marlinspike, ekibinin Cellebrite‘ın hacking kitini aldığını ve birkaç güvenlik açığı keşfettiğini iddia etti. Daha sonra Signal‘in uygulamayı herhangi bir yasa uygulama girişimini hacklemek için güncelleyeceğini ima etti.
Cellebrite, kolluk kuvvetlerinin iOS veya Android telefonlara girmesine ve mesajlaşma günlüklerini, arama kayıtlarını, fotoğrafları ve diğer verileri almasına olanak tanıyan UFED adlı bir “veri analiz cihazları” paketi satıyor. Uygulamanın en ünlüsü, FBI tarafından 2016-17’de San Bernardino atıcısının iPhone’unun kilidini açmak için kullanıldı ve bildirildiğine göre araçlar için 900.000 $ ödüyordu.
Marlinspike, yürüyüşe çıkarken bir kamyondan düştüğü şakasıyla, yazılım ve donanım kilidi ile tamamlanmış bir Cellebrite UFED edinmeyi başardı. (Cihazların eski sürümleri geçmişte eBay’de ve diğer sitelerde ortaya çıktı.)
Apple‘ın iTunes programı için FFmpeg’in 2012 sürümü ve MSI Windows yükleyici paketleri de dahil olmak üzere bazı eski ve güncel olmayan DLL’leri kullandığını belirtti. “Hem UFED’e hem de Physical Analyzer’a baktığımızda, Cellebrite’ın kendi yazılım güvenliğine çok az özen gösterildiğini görünce şaşırdık,” diye yazdı.
Signal‘in ekibi, Cellebrite tarafından taranan “bir cihazdaki herhangi bir uygulamaya özel olarak biçimlendirilmiş ancak başka türlü zararsız dosyaları” ekleyerek, UFED raporunu değiştiren kodu çalıştırabileceğini buldu. Örneğin, kurcalama izini bırakmadan potansiyel olarak metin, e-posta, fotoğraf, kişi ve diğer verileri ekleyebilir veya kaldırabilir.
Bir tweet’te (yukarıda), Signal hack’i eylemde gösterdi ve UFED kodu çalıştırmak ve iyi huylu bir mesaj görüntülemek için biçimlendirilmiş bir dosyayı ayrıştırdı. Bununla birlikte, şirket “gerçek bir istismar yükünün muhtemelen önceki raporları tespit edilemeyecek şekilde değiştirmeye çalışacağını, gelecekteki raporların bütünlüğünü tehlikeye atacağını veya Cellebrite makinesinden verileri çalacağını” söyledi. Marlinspike daha sonra, kolluk kuvvetlerinin gelecekteki Cellebrite çıkarma girişimlerini engellemek için bu tür bir kodu Signal’e yükleyebileceğini ima etti.
Signal, şirkete herhangi bir uyarıda bulunmadan sözde Cellebrite güvenlik açıkları hakkında ayrıntılar yayınladı, ancak Cellebrite karşılık verirse bunun yöntemini değiştireceğini söyledi. “Elbette, fiziksel çıkarımlarında ve diğer hizmetlerinde kullandıkları tüm güvenlik açıkları için aynısını şimdi ve gelecekte ilgili satıcılarına yapmaları halinde, bildiğimiz belirli güvenlik açıklarını Cellebrite’a sorumlu bir şekilde ifşa etmeye hazırız.”
Cellebrite Ars Technica’ya “müşterilerimizin verilerinin bütünlüğünü korumayı taahhüt ettiğini ve müşterilerimizi mevcut en iyi dijital zeka çözümleriyle donatmak için yazılımımızı sürekli olarak denetleyip güncelliyoruz” dedi. Sinyalin iddiaları, diğer güvenlik uzmanlarının onayıyla birlikte, hack hakkında daha fazla ayrıntı görmeden bir miktar şüpheyle ele alınmalıdır.