Há muito que se fala da Cellebrite e do que o seu software consegue fazer. Sabe-se que é usado pelas autoridades para aceder a qualquer smartphone, com a grande valia de conseguir aceder aos dados da maioria dos iPhone, sem qualquer problema.
O criador e CEO do Signal parece ter conseguido quebrar a segurança deste software. Descobriu falhas graves e que podem colocar em causa todos os dados recolhidos até agora ou no futuro.
Foi o próprio Moxie Marlinspike, CEO e criador do Signal que tomou em mãos a tarefa de experimentar a solução da Cellebrite. Após ter encontrado uma ferramenta destas, avaliou a solução e o software que a acompanha.
Depressa descobriu a forma como funciona, de uma forma geral, mas sem perceber como acede ao iPhone e outros smartphones. O mais grave foi que encontrou falhas de segurança graves e que podem colocar em causa toda a informação recolhida.
Basta a presença de um ficheiro inocente numa das apps presentes e rapidamente ficam com permissões para executar código na ferramenta da Cellebrite. Isto significa que podem depois remover ou adicionar dados, o que compromete a informação que é obtida de qualquer smartphone.
A avaliação de Moxie Marlinspike revelou ainda outros pontos desta ferramenta. Presente está uma versão do FFmpeg datada de 2012, com vulnerabilidades conhecidas. Pior mesmo é a presença de DLLs assinadas pela Apple e que não têm autorização para usar. A empresa pode assim acionar a justiça para o impedir.
A equipa do Signal está disposta a revelar à Cellebrite onde estão os problemas de segurança da sua ferramenta. Pede apenas que em troca seja assumido o compromisso de revelar a forma como acedem aos smartphones e quais as falhas usadas. Este seria para o passado e para o futuro.
Após ter sido revelado há alguns meses que as conversas do Signal poderiam se acedidas pela Cellebrite, surge agora esta informação. A ferramenta está comprometida e aparentemente não pode ser confiada por ser simples alterar os registos gerados.