Si la policía se apodera de un teléfono inteligente y tiene una orden judicial para registrarlo, a menudo recurrirán a una herramienta de la compañía israelí Cellebrite que puede piratearlo y descargar los datos que contiene. Pero hace unos días, un investigador de seguridad lanzó una aplicación que, según él, puede detectar cuando un Cellebrite está a punto de asaltar el dispositivo, apagar el teléfono y limpiarlo.

Podría resultar un comunicado controvertido, dado que los delincuentes podrían usarlo para borrar pruebas. Pero Matt Bergin, el investigador de la compañía de seguridad KoreLogic que creó la herramienta, dice que Cellebrite podría actualizar fácilmente su tecnología de piratería telefónica para evitar que su aplicación, llamada LockUp, funcione. Bergin espera que su trabajo, que también incluyó la búsqueda de debilidades de seguridad ahora reparadas en Cellebrite, saque a la luz la necesidad de más pruebas en las herramientas forenses de la policía para garantizar que sean seguras y puedan detectar la manipulación de pruebas.

“Mi objetivo no es armar a los criminales. Es más para educar al público en general y hacer que sea consciente de que necesitamos cambios en las políticas para abordar estos problemas ”, agregó Bergin. “Espero que veamos cambios en la política que requieran los tipos de pruebas que hago”.

Bergin pudo llevar a cabo su investigación sobre un dispositivo de extracción forense universal (UFED) Cellebrite de dos años adquirido en eBay, un lugar donde la tecnología, supuestamente solo puede ser utilizada por la policía, se ha visto a la venta antes. Encontró un puñado de problemas de seguridad. Primero, encontró un problema con la forma en que Cellebrite manejaba sus claves de cifrado. Se suponía que una de esas claves, una clave de autenticación, garantizaba que el dispositivo Cellebrite fuera el único que realizara una búsqueda forense en un teléfono, pero eran las mismas para todos los sistemas Cellebrite únicos. 

“El problema con eso es que ahora, cuando la evidencia recopilada por la UFED se presenta en los tribunales, realmente no se puede decir que fue la propia Cellebrite la que recopiló el contenido”, explicó Bergin. También encontró claves que le permitían extraer todo el código utilizado para explotar vulnerabilidades en Android, todo lo cual parecía haber sido arreglado en el sistema operativo de Google.

En cuanto a cómo funciona LockUp, busca una aplicación de Cellebrite llamada Mr. Meseeks, que lleva el nombre de un personaje de la comedia televisiva animada Rick & Morty, que se descarga en un teléfono Android cuando el técnico forense está a punto de buscar un dispositivo. LockUp examina el certificado de cada nueva aplicación instalada en un dispositivo y, si coincide con el del Sr. Meseeks, restablecerá el teléfono de fábrica. Aunque su sistema Cellebrite de prueba tenía dos años, Bergin cree que LockUp seguirá funcionando, ya que cree que las versiones modernas todavía usan Mr. Meseeks.

La publicación del código, en Github, podría interesar a los clientes globales de Cellebrite, que incluyen a muchas de las agencias de policía locales y del gobierno federal de EE. UU., Incluido el Servicio de Control de Aduanas de Inmigración (ICE), el FBI, la policía de Nueva York y Europol.

Cellebrite solucionó los problemas de cifrado destacados por Bergin en 2020. Un portavoz de la compañía agregó: “La aplicación de prueba de concepto demostrada no es considerada una vulnerabilidad por KoreLogic o Cellebrite. Es un escenario compartido para cualquier software forense que realice extracciones basadas en aplicaciones. Cellebrite ya ofrece métodos de recolección avanzados y más profundos que no son susceptibles a este tipo de aplicación. Es importante destacar que nuestros métodos pueden detectar y mitigar tales intentos, señalando la existencia de una medida anti-forense como parte del informe elaborado “.

Con respecto a la capacidad de las personas para comprar sus dispositivos en eBay y otros mercados de segunda mano, Cellebrite dijo: “Bajo ninguna circunstancia un cliente puede revender, redistribuir, transferir o sublicenciar la tecnología de Cellebrite a terceros sin el permiso expreso por escrito de Cellebrite. . . tenga en cuenta que, en las raras ocasiones en que alguien puede obtener un dispositivo en un mercado secundario, el software está desactualizado y no puede recibir actualizaciones “.

El lanzamiento de LockUp se produce solo una semana después de que Moxie Marlinspike, fundador de la aplicación de mensajería cifrada Signal, investigara la seguridad de un dispositivo Cellebrite y afirmara poder piratear un Cellebrite al incluir código malicioso en una aplicación buscada por la herramienta forense.

La aplicación LockUp puede atraer a aquellos que no se considerarían criminales, pero podrían estar bajo vigilancia de su gobierno. Al parecer, se han detectado dispositivos de Cellebrite en uso de periodistas en países con malos antecedentes en materia de derechos humanos.

Extracto de nota publicada en Forbes Magazine

_______________________________________ Sigue creciendo

La información es uno de los activos más importantes de una empresa. Prepárate para ser un aliado en la protección de la data de las compañías estudiando tu Maestría en Ciberseguridad 100% en línea.