Signal maakt politie-apparaat belachelijk

Het bedrijf dat voor politiediensten wereldwijd mobiele telefoons uitleest wordt momenteel in kringen van tech-nerds hard uitgelachen. In een BBC-item werd beweerd dat Cellebrite de crypto-app Signal had gekraakt. Inmiddels heeft Signal teruggeslagen: de Cellebrite UFED waarmee ook de Nederlandse politie – en het Nederlands Forensisch Instituut (NFI) – werkt is zo slecht beveiligd dat het er eigenlijk geen betrouwbare data uit zouden komen.

Door @Wim van de Pol

Signal is een app waarmee vele wereldburgers onderling bellen en appen. In de tech-gemeenschap staat de app hoog aangeschreven omdat de methodiek (anders dan in het geval van bijvoorbeeld Encro of Sky) openbaar en transparant is en de pgp-codering onkraakbaar.

Cellebrite is een trouwe kompaan van politiediensten in vele landen. Het Israëlische bedrijf analyseert voor de politie bij verdachten in beslag genomen mobiele telefoons. Het Openbaar Ministerie gebruikt die informatie vervolgens in strafdossiers, en de rechter veroordeelt verdachten (mede) op basis daarvan.

No

Het BBC-bericht over Signal in december baarde nogal opzien maar bleek een canard, en een foutje van Cellebrite (die het nieuws dan ook van hun eigen blog hebben verwijderd, mirror).

De uitgesproken topman van Signal, Moxie Marlinspike reageerde als door een wesp gestoken: ‘No, Cellebrite cannot ‘break Signal encryption.’ Schreef hij op zijn blog. Bovendien: Cellebrite kraakt niks, het zuigt alleen informatie uit een telefoon.

Moxie Marlinspike was nog niet klaar met Cellebrite. Hij ging aan het hacken. Deze week publiceerde hij het voor Cellebrite beschamende resultaat. Het vlaggenschip slash cash cow van Cellebrite – de UFED – bevat meer dan honderd kwetsbaarheden.

Erger is dat wanneer er een telefoon op is aangesloten geweest er geen enkele uitspraak meer kan worden gedaan over de betrouwbaarheid van wat het apparaat rapporteert.

Vrachtwagen

Een ‘ongelofelijk toeval’, schrijft Marlinspike:

Toevallig viel er laatst een Cellebrite-tasje van een vrachtwagen toen ik aan het wandelen was.

Al snel sloeg verbazing toe, bij Marlinspike. Ook al omdat Cellebrite zegt ‘digital intelligence’ te produceren voor ‘a safer world’.

Aangezien bijna alle code van Cellebrite bestaat om niet-vertrouwde invoer te ontleden die op een onverwachte manier kan worden geformatteerd om misbruik te maken van geheugenbeschadiging of andere kwetsbaarheden in de ontledingssoftware, zou je kunnen verwachten dat Cellebrite buitengewoon voorzichtig is geweest.

Maar safe was de UFED niet.

De software op het apparaat is volgens Signal sinds 2012 niet meer ge-update. Dat maakt ieder Cellebrite-apparaat in veiligheidsopzicht tot een total loss, aldus Marlinspike:

We ontdekten dat het mogelijk is om willekeurige code uit te voeren op een Cellebrite-machine door simpelweg een speciaal geformatteerd, maar verder onschadelijk bestand, op te nemen in een app op een apparaat dat vervolgens wordt aangesloten op Cellebrite en wordt gescand. Er zijn vrijwel geen limieten aan de code die kan worden uitgevoerd.

Er is geen oude pc die eenvoudiger te hacken is. Maar het is nog veel erger:

Het is mogelijk om code uit te voeren die niet alleen het Cellebrite-rapport wijzigt dat in die scan wordt gemaakt, maar ook alle eerdere en toekomstige gegenereerde rapporten die Cellebrite rapporteert van alle eerder gescande apparaten en alle toekomstige gescande apparaten op een willekeurige manier (invoegen of verwijderen van tekst, e-mail, foto’s, contacten, bestanden of andere gegevens), zonder detecteerbare tijdstempelwijzigingen of checksum-fouten. Dit zou zelfs willekeurig kunnen gebeuren, en zou de gegevensintegriteit van de rapporten van Cellebrite ernstig in twijfel trekken.

En een betrouwbaar rapport, daar gaat het een rechtbank om – als het goed is.

Nu dit bekend is kan iedereen zijn telefoon zodanig prepareren dat op het moment dat een politieman er een Cellebrite-kabel insteekt de UFED op hol slaat, of bijvoorbeeld informatie op zijn telefoon wijzigt of gaat wissen. (tekst gaat verder onder reclame)

Hopeloos

Marlinspike impliceert dat in veiligheidstermen de situatie voor Cellebrite’s UFED hopeloos is.

Totdat Cellebrite in staat is om alle kwetsbaarheden in zijn software nauwkeurig met extreem veel vertrouwen te herstellen, is de enige remedie die een Cellebrite-gebruiker heeft, het niet scannen van apparaten.

Zelfs in bijwerken met meer dan honderd patches van de software is geen garantie, aldus Marlinspike. Ophouden met Cellebrite UFED gebruiken dus.

Marlinspike zegt bereid te zijn aan Cellebrite de specifieke kwetsbaarheden die Signal nu van hen kent, en die ze misschien zelf niet in kaart hebben, te onthullen, maar onder één voorwaarde:

Als ze hetzelfde doen voor alle kwetsbaarheden die ze gebruiken bij hun fysieke extractie en andere diensten aan hun respectievelijke leveranciers, nu en in de toekomst.

Apple-software

Als extraatje stelt Marlinspike dat Cellebrite ten behoeve van hun iPhone-extractie kennelijk Apple-software heeft gepikt.

Het lijkt ons onwaarschijnlijk dat Apple aan Cellebrite een licentie heeft verleend om Apple DLL’s te herdistribueren en in zijn eigen product op te nemen, dus dit kan een juridisch risico vormen voor Cellebrite en zijn gebruikers.

Apple-juristen staan wat betreft eigendomsrecht bekend om een beperkt relativerend vermogen.

Marlinspike maakt er overigens geen geheim van sowieso al een hekel te hebben gehad aan Cellebrite omdat ze hun software en apparaten ook verkopen aan regimes die het niet zo nauw nemen met de mensenrechten, zoals Wit-Rusland, Rusland, Venezuela, China, en de militairen in Myanmar.

Signal maakte er ook een filmpje van: