Cellebrite 取證工具受到任意代碼執行漏洞影響

SIGNAL創作者警告稱，Cellebrite移動取證工具Ufed包含多個漏洞，這些漏洞允許在設備上任意執行代碼。

流行的加密消息應用程序Signal的創建者Moxie Marlinspike宣布，Cellebrite開發的Cellebrite移動取證工具受到多個漏洞的影響，這些漏洞可被利用來實現任意代碼執行。

Cellebrite為執法和情報機構開發了取證工具，可以自動從移動設備中物理提取和索引數據。受歡迎的密碼學家兼研究員Moxie稱，該公司的客戶包括白俄羅斯，俄羅斯，委內瑞拉和中國的獨裁政權，孟加拉國的死刑隊和緬甸的軍政府。

去年12月，該公司宣布其物理分析器(Physical Analyzer)能夠解密來自Signal消息應用程序的消息和數據。

Cellebrite生產兩種主要產品，UFED和Physical Analyzer。前者允許專家將設備創建備份到運行UFED的Windows機器上，后者允許解析來自備份的文件以可瀏覽的形式顯示數據。

Moxie指出，Cellebrite軟件會分析來自代表不可信來源的設備上運行的多個應用程序的數據。數據的格式可能不正確，并且可能觸發內存損壞漏洞，從而導致設備上的代碼執行。

“Cellebrite的軟件需要提取和顯示的數據最終是由設備上的應用程序生成和控制的，而不是由“受信任的”來源控制的，因此Cellebrite無法對其接收的格式化數據的“正確性”做出任何假設。實際上，這是所有安全漏洞產生的空間。” 閱讀帖子由Moxie發布。“由于Cellebrite的幾乎所有代碼都存在來解析不受信任的輸入，這些輸入可能以一種意想不到的方式進行格式化，以利用解析軟件中的內存損壞或其他漏洞，因此人們可能會期望Cellebrite極為謹慎。但是，同時查看UFED和Physical Analyzer時，我們驚訝地發現，似乎很少注意Cellebrite自己的軟件安全性。缺少行業標準的緩解漏洞的防御措施，存在許多剝削機會”

這位頗受歡迎的專家解釋說，只要在設備上的任何應用程序中包含經過特殊格式化但無害的文件，就可以通過多種方式利用該漏洞，而當被Cellebrite軟件解析時，該文件可能會觸發該漏洞利用。

“例如，通過在設備上的應用程序中包含經過特殊格式化但無害的文件，然后通過Cellebrite對其進行掃描，可以執行代碼，不僅修改在該掃描中創建的Cellebrite報告，還可以修改以前和將來的所有代碼。專家以任何方式（插入或刪除文本，電子郵件，照片，聯系人，文件或任何其他數據）從所有先前掃描的設備和將來所有掃描的設備生成的Cellebrite報告生成，沒有可檢測到的時間戳更改或校驗和失敗。

Moxie還注意到，Packet Analyzer的安裝程序包括由Apple數字簽名的MSI軟件包，并且顯然是從Windows 12.9.0.167版的Windows安裝程序中提取的。

這兩個軟件包均導入DLL，這些DLL用于允許取證工具從iOS設備提取數據。

“在我們看來，蘋果似乎沒有授予Cellebrite許可以在自己的產品中重新分發和合并Apple DLL，因此這可能對Cellebrite及其用戶構成法律風險。” 專家總結。