Aktuellt

Andra världskrigets tre slutdatum i Europa

Andra världskriget slutade med Nazitysklands ovillkorliga kapitulation i princip på tre olika datum i Europa. Minst känt är antagligen den...

2021-04-23 13:24

Säkra meddelandeappen Signal hackar hackarmjukvaran Cellerbrite baklänges

Den krypterade meddelandeappen Signal har hackat hackarmjukvaran Cellerbrite, som används av polis och säkerhetstjänster, inklusive i diktaturer förr att knäcka beslagtagna mobiltelefoner. Sårbarheterna - plural - innebär att en app kan ha en fil installerad som kör godtycklig kod på en Cellerbritedator och  kan förstöra alla tidigare och alla kommande Cellerbrite-rapporter om beslagtagna mobiltelefoner på den datorn.
Baksidan på bloggarens dator. 
Mobiltelefoner är idag viktigt bevismaterial i rättegångar, liksom högvilt för säkerhetstjänster, särskilt i diktaturer, där i princip all information om en person och dennes kontakterr kan hittas. T ex bör man blåsa sina mobiler och datorer när man reser till USA, eftersom amerikanska tullen har rätt att läsa allt på din IT-utrustning, inklusive saker som är strikt privata, men säkerhetsmässigt privata.

Mobiltelefoner - åtminstone iPhone med Apple iOS med sin allt starkare integritets- och säkerhetsprofil - är dock allt mer krypterade och går inte bara att läsa av. Ofta vill man slå till mot en misstänkt eller oppositionell när skärmen är upplåst. Annars behöver man hård- och mjukvara som exempelvis det Cellerbrite erbjuder, för att knäcka dessa skydd.

Fast Cellerbrite är tydligen inget vidare på den egna säkerheten och vilken mobilapp som helst kan installera filer på mobiltelefonen som knäcker Cellerbritedatorn.

Signal skriver om det hela på sin blogg, vilket inkluderade hur en försändelse med Cellerbrites utrustning och mjukvara praktiskt nog råkade  tappas av ett bud framför fötterna på Signals Moxie0, som var ute på promenad. Hata slumpen.

Signal skriver om själva säkerhetshålet:
"Any app could contain such a file, and until Cellebrite is able to accurately repair all vulnerabilities in its software with extremely high confidence, the only remedy a Cellebrite user has is to not scan devices. Cellebrite could reduce the risk to their users by updating their software to stop scanning apps it considers high risk for these types of data integrity problems, but even that is no guarantee.

We are of course willing to responsibly disclose the specific vulnerabilities we know about to Cellebrite if they do the same for all the vulnerabilities they use in their physical extraction and other services to their respective vendors, now and in the future."

Det ser även ut som Cellerbrite verkar använda Apples bibliotek utan licens, och i själva verket alltså begått upphovsrättsbrott för att kunna penetrera beslagtagna mobiler. 

Signal avslutar med att man framöver kommer rotera in olika estetiskt tilltalande filer till alla sina användare, men att det absolut har ingenting med säkerhetsproblemen i Cellerbrite att göra.
"In completely unrelated news, upcoming versions of Signal will be periodically fetching files to place in app storage. These files are never used for anything inside Signal and never interact with Signal software or data, but they look nice, and aesthetics are important in software. Files will only be returned for accounts that have been active installs for some time already, and only probabilistically in low percentages based on phone number sharding. We have a few different versions of files that we think are aesthetically pleasing, and will iterate through those slowly over time. There is no other significance to these files."

Appen Signal, som finns både till desktop, iOS, iPadOS och Android, har nyligen förbjudits i Kina, vilket är en antydan om säkerhetsnivån. En nedsida med appen är att det inte finns någon central lagring av meddelanden, så förlorar man sin mobil förlorar man även alla gamla meddelanden om man inte synkat dessa mellan t ex dator och mobil.

I övrigt har appar som Signal äntligen gett enkel användarvänlig kryptering för vanligt folk. Kryptering är annars inte helt enkelt att hantera rätt - t ex är det rätt kasst om någon svarar okrypterat på ditt krypterade mail, inklusive komplett citat av det du just skickade krypterat. Nu diskuterar vi alltså klientsidekrypton av innehåll, inte SSL och TLS och liknande för själva överföringen.

Signal är en skattebefriad icke vinst-drivande organisation som finansieras via i USA avdragsgilla donationer. Använder du Signal kan det vara på sin plats att donera några dollar då och då.

Nedan följer läsarkommentarer. Dessa är inte en del av det redaktionella innehållet och är respektive kommentators ansvar. Kommentatorer som följer kommentarsreglerna kan bli vitlistade, annars raderas kommentarerna automatiskt. Vitlistning sker ungefär en gång i veckan och raderade kommentarer kan då återpubliceras.

10 kommentarer:

  1. Fick mig att kolla efter o går också backupa konversationer i Signal. Inte alltid helt intuitivt användargränssnitt.

    SvaraRadera
  2. Magisk humor i den bloggposten. Underbart :)

    SvaraRadera
    Svar
    1. Signals alltså. Och Cornus, by proxy, förstås.

      Radera
  3. "Black ice" enligt William Gibson.

    SvaraRadera
  4. Mina tips:
    Använd Brave Browser om du inte redan gör det.
    Använd Protonmail om du inte redan gör det.
    Använd VeraCrypt. VeraCrypt containers är väldigt praktiska att maila till varandra som exempel.
    Se till att ha lite bitcoin på en Ledger eller Trezor så har du alltid lite pengar som ingen kan ta ifrån dig.
    Har du mycket på din Ledger så köp en CryptoSteel eller Hodlr Disk att ha backuppen på och gräv ned den någonstans.

    SvaraRadera
  5. Det var den centrala lagringen av meddelanden som fällde Encrochat, att ha end to end-kryptering är optimalt om du inte själv har koll på en servermiljö som förmedlare.

    SvaraRadera
  6. Dags att påminna om den här klassikern om ditt data är skyddat online:

    https://getdolphins.com/wp-content/uploads/2018/01/Data-Security.png

    SvaraRadera
  7. Det här med kryptering kan vara mycket svårt. Ett tag använde jag GNUpg på mailen, det hela föll dock på att ingen utav mina vänner var intresserad av att också använda det. Då är det ändå så att jag har ganska tekniskt intresserade vänner.

    SvaraRadera
  8. Får se bara hur länge det dröjer innan EU börjar sätta press på att "reglera" (förbjuda) kryptering med hänvisning till terror/olagligt naket material eller att folk är allmänt osedliga. ;)

    SvaraRadera