Buletinul de securitate Android de la Google pentru luna martie cuprinde 43 de vulnerabilități reparate, inclusiv un zero-day (CVE-2024-50302) exploatat anul trecut în decembrie de către serviciul de informații din Serbia pentru a debloca telefonul unui student activist.
Majoritatea corecțiilor de securitate livrate în Android luna aceasta au un risc de severitate ridicat, iar zece sunt critice și pot fi folosite pentru a obține execuție de cod de la distanță fără a fi necesare privilegii speciale.
Pentru o a doua problemă de securitate de tip zero-day, CVE-2024-43093, Google avertizează că are informații cum că ar fi exploatată în cazuri limitate cu ținte bine definite.
O metodă de exploatare ce folosește CVE-2024-50302 a fost descoperită de compania israeliană Cellebrite și introdusă în produsele sale de criminalistică digitală oferite autorităților din mai multe state pentru a fi folosite în limitele legii.
Conform Cellebrite, platforma de analiză și investigație a companiei este destinată colectării, verificării și analizei datelor digitale într-un mod legal și etic ce protejează confidențialitatea și poate fi auditat.
Exploatare prin acces fizic
Prin accesarea dispozitivului mobil blocat al unui student activist de 23 de ani, autoritățile din Serbia au încălcat politica Cellebrite. Procedura a presupus exploatarea vulnerabilității CVE-2024-50302 pe care Google nu o cunoștea la acel moment.
Amnesty International, o organizație non-guvernamentală axată pe drepturile omului, a investigat telefonul mobil al activistului, găsind metoda de exploatare folosită de Cellebrite pentru accesarea unui dispozitiv blocat.
CVE-2024-50302 prezintă un risc ridicat și este o vulnerabilitate în driver-ul HID (Human Interface Device) pentru conexiunea USB din kernelul Linux ce permite dezvăluirea de informații.
Pe lângă vulnerabilitatea proaspăt reparată, metoda (exploit chain) dezvoltată de Cellebrite necesită acces fizic și funcționează alături de alte două probleme de securitate: CVE-2024-53104 (reparată în februarie) și CVE-2024-53197 (fără corecție livrată deocamdată).
Cellebrite suspendă serviciile în Serbia
Studentul activist, denumit Vedran pentru a-i proteja identitatea, participa la un protest pașnic când a fost reținut de către „polițiști” ce nu s-au identificat și care i-au cerut telefonul. Când studentul a refuzat, a fost dus la o secție de poliție din Belgrad unde a petrecut aproximativ șase ore.
Presupușii polițiști erau ofițeri ai agenției de informații din Serbia (BIA – Bezbedonosno-informativna agencija). La intrarea în secție, Vedran și-a închis telefonul, un Samsung Galaxy A32, și l-a primit în aceeași stare când a fost eliberat.
Amnesty International a atras atenția anul trecut că autoritățile și serviciile de informații din Serbia folosesc spyware împreună cu produse criminalistice pentru telefoane mobile pentru a viza în mod ilegal jurnaliști, activiști de mediu și alte persoane.
În urma raportului organizației, Cellebrite a început o investigație pentru a determina dacă folosirea produselor sale în Serbia se face în conformitate cu politicile companiei de etică și integritate.
Pe 25 februarie, Cellebrite a decis să stopeze pentru moment furnizarea produselor către anumiți clienți din Serbia pentru a evita abuzuri împotriva drepturilor omului.
