Cellebrite 取证工具受到任意代码执行漏洞影响

Andrew 2021-04-23
专栏 - 资讯 发布于 2021-04-23 10:03:53 阅读 83 评论 0

SIGNAL创作者警告称,Cellebrite移动取证工具Ufed包含多个漏洞,这些漏洞允许在设备上任意执行代码。

流行的加密消息应用程序Signal的创建者Moxie Marlinspike宣布,Cellebrite开发的Cellebrite移动取证工具受到多个漏洞的影响,这些漏洞可被利用来实现任意代码执行。

Cellebrite为执法和情报机构开发了取证工具,可以自动从移动设备中物理提取和索引数据。受欢迎的密码学家兼研究员Moxie称,该公司的客户包括白俄罗斯,俄罗斯,委内瑞拉和中国的独裁政权,孟加拉国的死刑队和缅甸的军政府。

去年12月,该公司宣布其物理分析器(Physical Analyzer)能够解密来自Signal消息应用程序的消息和数据。

Cellebrite生产两种主要产品,UFED和Physical Analyzer。前者允许专家将设备创建备份到运行UFED的Windows机器上,后者允许解析来自备份的文件以可浏览的形式显示数据。

Moxie指出,Cellebrite软件会分析来自代表不可信来源的设备上运行的多个应用程序的数据。数据的格式可能不正确,并且可能触发内存损坏漏洞,从而导致设备上的代码执行。

“Cellebrite的软件需要提取和显示的数据最终是由设备上的应用程序生成和控制的,而不是由“受信任的”来源控制的,因此Cellebrite无法对其接收的格式化数据的“正确性”做出任何假设。实际上,这是所有安全漏洞产生的空间。” 阅读帖子由Moxie发布。“由于Cellebrite的几乎所有代码都存在来解析不受信任的输入,这些输入可能以一种意想不到的方式进行格式化,以利用解析软件中的内存损坏或其他漏洞,因此人们可能会期望Cellebrite极为谨慎。但是,同时查看UFED和Physical Analyzer时,我们惊讶地发现,似乎很少注意Cellebrite自己的软件安全性。缺少行业标准的缓解漏洞的防御措施,存在许多剥削机会”

这位颇受欢迎的专家解释说,只要在设备上的任何应用程序中包含经过特殊格式化但无害的文件,就可以通过多种方式利用该漏洞,而当被Cellebrite软件解析时,该文件可能会触发该漏洞利用。

“例如,通过在设备上的应用程序中包含经过特殊格式化但无害的文件,然后通过Cellebrite对其进行扫描,可以执行代码,不仅修改在该扫描中创建的Cellebrite报告,还可以修改以前和将来的所有代码。专家以任何方式(插入或删除文本,电子邮件,照片,联系人,文件或任何其他数据)从所有先前扫描的设备和将来所有扫描的设备生成的Cellebrite报告生成,没有可检测到的时间戳更改或校验和失败。

Moxie还注意到,Packet Analyzer的安装程序包括由Apple数字签名的MSI软件包,并且显然是从Windows 12.9.0.167版的Windows安装程序中提取的。

这两个软件包均导入DLL,这些DLL用于允许取证工具从iOS设备提取数据。

“在我们看来,苹果似乎没有授予Cellebrite许可以在自己的产品中重新分发和合并Apple DLL,因此这可能对Cellebrite及其用户构成法律风险。” 专家总结。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!