Όχι, μια ισραηλινή εταιρία δεν μπόρεσε να σπάσει το Signal

Πηγή μετάφρασης: Alerta
Όχι, μια ισραηλινή εταιρία δεν μπόρεσε να σπάσει το Signal. Η Cellebrite ισχυρίζεται πως το προϊόν της μπορεί να σπάσει την εφαρμογή μηνυμάτων αλλά η τεχνολογία της δεν είναι πρωτοποριακή σύμφωνα με ειδικούς ασφαλείας.

Δημοσιογράφοι κι ακτιβιστές ανθρωπίνων δικαιωμάτων δεν ρισκάρουν να χακαριστούν τα τηλέφωνά τους όταν χρησιμοποιούν το Signal, παρόλο που η ισραηλινή εταιρία εφαρμογών ασφαλείας και πληροφοριών Cellebrite ισχυρίζεται πως μπορεί να σπάσει την εφαρμογή.

Το Signal είναι μια end-to-end κρυπτογραφημένη εφαρμογή μηνυμάτων που κυκλοφόρησε το 2010 από τον Moxie Marlinspike, έναν αμερικανό επιχειρηματία και κρυπτογράφο που έχει δουλέψει για τη Google, το Facebook και το Whatsapp μεταξύ 2012 και 2016 κι ενσωμάτωσε τον κώδικα του Signal στις υπηρεσίες τους.

Η εφαρμογή έχει φτάσει να θεωρείται εργαλείο ζωτικής σημασίας για δημοσιογράφους κι ακτιβιστές ανθρωπίνων δικαιωμάτων που συνήθως το χρησιμοποιούν για να επικοινωνήσουν με πηγές πιστεύοντας πως είναι ασφαλής. Σε όλη τη Μ. Ανατολή κι αλλού οι κυβερνήσεις συχνά έχουν χρησιμοποιήσει τεχνολογία -συχνά ανεπτυγμένη στο Ισραήλ- για να χακάρουν τηλέφωνα μέσα από εφαρμογές μηνυμάτων.

Ενώ το Facebook, το Whatsapp και το Skype χρησιμοποιούν τον κώδικα του Signal για να κρυπτογραφούν τα μηνύματα των χρηστών, η εφαρμογή του Signal είναι γνωστή για την ισχυρή κρυπτογράφηση η οποία προσθέτει ένα επιπλέον στρώμα στην end-to-end επικοινωνία κρυπτογραφώντας τα αρχεία και τα συνημμένα που στέλνουν οι χρήστες καθιστώντας τα ασφαλή από άλλο λογισμικό.

Ωστόσο την περασμένη βδομάδα η Cellebrite, μια ισραηλινή εταιρία που είναι θυγατρική της Sun Cooperation κι είναι εισηγμένη στο χρηματιστήριο ασφαλείας της Ιαπωνίας, έγραψε σε ένα blog πως το προϊόν της Universal Forensic Extraction Device (UFED), μπορεί να προσπελάσει, να εξάγει και να αναλύσει δεδομένα από κινητά τηλέφωνα που χρησιμοποιούν το Signal.

Η Cellebrite λέει πως έχει αναπτύξει το Physical Analyzer για να προσπελάσει δεδομένα στο Signal ισχυριζόμενη πως αυτό θα βοηθήσει τους πελάτες της να «αποκαλύψουν ψηφιακά πειστήρια και να δημιουργήσει αποδείξεις εγκλημάτων που θα χρησιμοποιηθούν στα δικαστήρια».

Η δημοσίευσή της ακολούθως διαγράφτηκε και ειδικοί τεχνολογίας γρήγορα κατέρριψαν τους ισχυρισμούς της εταιρίας.

Ο Etienne Maynier, ερευνητής ασφάλειας στη Διεθνή Αμνηστία είπε πως η τεχνολογία της Cellebrite δεν είναι «πρωτοποριακή».

Για να μπορέσει η Cellebrite να προσπελάσει δεδομένα και να τα επεξεργαστεί χρειάζεται να έχει πλήρη πρόσβαση στη συσκευή μέσω του password του χρήστη, του δακτυλικού αποτυπώματος ή μέσω αναγνώρισης προσώπου.

Αυτό μπορεί να εξασφαλιστεί με δύο μεθόδους: νόμιμα από τις δυνάμεις επιβολής του νόμου ζητώντας τον κωδικό από τον κάτοχο της συσκευής ή με μια τεχνική προσέγγιση που εκμεταλλεύεται ευάλωτα θέματα ασφαλείας της συσκευής.

Ο Maynier λέει πως «από τη στιγμή που το εργαλείο (το UFED της Cellebrite) έχει πλήρη πρόσβαση στα δεδομένα του τηλεφώνου δεν υπάρχει καμία τεχνική δυσκολία στο να προσπελάσει και τα δεδομένα του Signal… η Cellebrite δεν παρέχει τίποτα πρωτοποριακό αλλά απλά εξηγεί τεχνικά πως διαβάζονται αυτά τα δεδομένα όταν έχει πλήρη πρόσβαση στο τηλέφωνο».

Ο Maynier πρόσθεσε πως όποιος έχει πρόσβαση σε «ξεκλείδωτο» τηλέφωνο έχει προφανώς πρόσβαση στα δεδομένα του Signal κι άλλων εφαρμογών του τηλεφώνου. Συμπληρώνοντας πως «το Signal εγγυάται την ασφάλεια κατά την επικοινωνία μέσα από end-to-end κρυπτογράφηση όμως η ασφάλεια των δεδομένων στο τηλέφωνο εξαρτάται από την ασφάλεια της ίδιας της συσκευής».

Έπειτα από τις αναφορές που κυκλοφόρησαν πως οι «εξελιγμένες τεχνολογίες» της Cellebrite κατάφεραν να σπάσουν τον κώδικα του Signal σε ξεκλείδωτες τηλεφωνικές συσκευές ο Marlinspike, δημιουργός του Signal έγραψε την Παρασκευή στο Twitter: «Θα μπορούσαν απλά να ανοίξουν την εφαρμογή για να δούνε τα μηνύματα».

This (was!) an article about “advanced techniques” Cellebrite uses to decode a Signal message db… on an *unlocked* Android device! They could have also just opened the app to look at the messages.

The whole article read like amateur hour, which is I assume why they removed it.

— Moxie Marlinspike (@moxie) December 11, 2020

Η Cellebrite ιδρύθηκε το 1999 και οι εφαρμογές της χρησιμοποιούνται σε 154 χώρες κι η εταιρία λέει πως «έκαναν δυνατές τις καταδίκες σε πάνω από 5 εκατομμύρια υποθέσεις σοβαρών εγκλημάτων όπως δολοφονίες, βιασμούς, σωματεμπορία και παιδοφιλία».

Το UEFD της Cellebrite είναι μια συσκευή περίπου στο σχήμα ενός tablet που συνδέεται με το τηλέφωνο για να ανακτήσει δεδομένα. Χρησιμοποιείται ήδη από τις αστυνομικές δυνάμεις των ΗΠΑ και το FBI.

Την τελευταία βδομάδα οκτώ δημόσια σχολεία των ΗΠΑ αγόρασαν συσκευές από την Cellebrite για να αποκτήσουν πρόσβαση στα τηλέφωνα των μαθητών τους, σύμφωνα με το Apple Insider. Η «ναυαρχίδα» της Cellebrite, το UEFD μπορεί να ανακτήσει μηνύματα sms, λίστες κλήσεων, ιστορικό περιήγησης και διαγραμμένα δεδομένα από τηλέφωνα.

Τον Ιανουάριο του 2017, δεδομένα που κλάπηκαν από την Cellebrite πουλήθηκαν στην Τουρκία, στη Σαουδική Αραβία και στα Ηνωμένα Αραβικά Εμιράτα, χώρες γνωστές για τις φυλακίσεις δημοσιογράφων κι ακτιβιστών.

Πούλησε επίσης εφαρμογές της σε χώρες με καταπιεστικά καθεστώτα όπως τη Βενεζουέλα, τη Λευκορωσία και την Ινδονησία. Τον Οκτώβριο σταμάτησε τις πωλήσεις προς την Κίνα και τη Διοίκηση του Χονγκ Κονγκ μετά από διεθνείς επικρίσεις.

«Η Cellebrite πρέπει να πάρει πιο σοβαρά τα ανθρώπινα δικαιώματα και να σιγουρευτεί πως τα προϊόντα της δε χρησιμοποιούνται για να παραβιαστούν ανθρώπινα δικαιώματα» είπε ο Maynier από τη Διεθνή Αμνηστία.

Το Middle East Eye ζήτησε από την Cellebrite ένα σχόλιο καθώς και το γιατί διέγραψε την ανάρτησή της που καυχιόταν πως η τεχνολογία της μπορεί να χακάρει το Signal.

Αρκετές ισραηλινές εταιρίες, που οι ιδρυτές τους προέρχονται από τις βιομηχανίες ασφάλειας κι άμυνας,  έχουν αναπτύξει τεχνολογίες χακαρίσματος και παρακολούθησης κινητών τηλεφώνων.

Η πιο διάσημη, η μεγαλύτερη εταιρία surveillance του Ισραήλ NSO Group, πούλησε το spyware λογισμικό της Pegasus σε αρκετές καταπιεστικές αραβικές κυβερνήσεις, ανάμεσά τους η Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα και το Μαρόκο που το χρησιμοποίησαν για να κατασκοπεύσουν δημοσιογράφους κι ακτιβιστές.

Την περασμένη Τρίτη το Signal ξεκίνησε video group meeting calls ελπίζοντας να αντικαταστήσει το Zoom, το οποίο έχει χρησιμοποιηθεί ευρύτατα για την τηλεργασία κι είχε αρκετές παγίδες ασφαλείας κατά την πανδημία.

Πηγή: Middle East Eye

Σ.τ.Μ. Θέση για το ζήτημα που προέκυψε με το δήθεν σπάσιμο του Signal από την Cellebrite πήρε κι ο Edward Snowden, πρώην αναλυτής της NSA και γνωστός από το ντοκιμαντέρ Citizenfour όπου αποκάλυψε την εκτεταμένη παρακολούθηση που έκανε η υπηρεσία του. Ακολουθούν τα tweets του Snowden από τα οποία φαίνεται ότι συντάσσεται με την άποψη πως το Signal παραμένει ασφαλής εφαρμογή επικοινωνίας:

No, Cellebrite cannot decrypt Signal communications. What they sell is a forensic device cops connect to insecure, unlockable phones to download a bunch of popular apps’ data more easily than doing it manually. They just added Signal to that app list. That’s it. There’s no magic.

— Edward Snowden (@Snowden) December 15, 2020

The general security principle is that if you can look at something on your unlocked phone without entering a password, obviously anyone else who has your unlocked phone can do the same. We don’t call that “breaking crypto,” we call that obvious.

— Edward Snowden (@Snowden) December 15, 2020