Sécurité: The Encrypted Message Creator a détecté une faille d’exécution de code aléatoire qui peut être utilisée pour remettre en question la « validité des rapports générés par Cellebrite Tools

 »

Par

Chris Duckett

|
Modifié le jeudi 22 avril 2021 19:23

Cellebrite, une société spécialisée dans l’analyse téléphonique et l’exploration de données, devrait désormais envisager la possibilité de compromettre les éditeurs d’applications mobiles: le créateur du signal, Moxie Marlinspike, a révélé qu ‘«il était possible de commencer à exécuter du code arbitraire sur ces outils

>

Les outils Cellebrite sont utilisés pour extraire les données des téléphones appartenant aux utilisateurs

« En incluant un fichier spécialement formaté, mais non malveillant, dans une application sur un appareil qui est ensuite analysé par Cellebrite, il est possible d’exécuter du code qui modifie non seulement le rapport généré dans cette analyse, mais tous les rapports futurs généré à partir de tous les appareils pré-scannés et de tous les futurs appareils scannés de quelque manière que ce soit (en entrant ou en supprimant du texte, des e-mails, des images, des contacts, des fichiers ou toute autre donnée), sans modifier l’horodatage ou échouer à la somme de contrôle, « Moxie Marlinspike, PDG de Signal écrit, « pourrait être fait au hasard, et mettrait sérieusement en doute l’intégrité des données dans les rapports Cellebrite.

Habituellement, lorsque des vulnérabilités de ce type sont découvertes, le problème est divulgué au fabricant du logiciel pour correction Mais comme Cellebrite fonctionne grâce à ses vulnérabilités non révélées, Moxie Marlinspike a choisi une approche différente. «Nous sommes bien sûr disposés à divulguer de manière responsable les vulnérabilités que nous connaissons de Cellebrite, s’ils font de même avec les vulnérabilités qu’ils utilisent dans les outils d’exploitation minière et d’autres services à leurs fournisseurs, maintenant et à l’avenir», a-t-il déclaré

Le PDG de Signal dit que Cellebrite Tools a « beaucoup de possibilités » et pense qu’ils auraient dû être plus prudents lors de la création de l’outil Par exemple, Cellebrite a intégré les bibliothèques DLL de FFmpeg datant de 2012 depuis cette année, FFmpeg expose environ 230 vulnérabilités .

Moxie Marlinspike a également indiqué que Cellebrite a deux installateurs Apple à bord pour permettre aux outils d’extraire des données lorsque l’appareil iOS est en cours d’utilisation. « Il nous semble peu probable qu’Apple ait accordé à Cellebrite une licence pour redistribuer ces fichiers DLL et les incorporer dans son propre produit, ce qui pourrait présenter un risque juridique pour Cellebrite et ses utilisateurs », affirme-t-il.

Dans une vidéo pleine de références au film Hackers, le PDG de Signal a montré une percée dans le travail, avant d’utiliser Saif à Cellebrite

Dans un autre paragraphe, Moxie Marlinspike la qualifie de façon moqueuse de « non pertinente » par rapport à ses découvertes, déclarant que « les futures versions de Signal récupéreront périodiquement certains fichiers et les placeront dans le stockage de l’application ». Ces fichiers ne sont jamais utilisés pour quoi que ce soit à l’intérieur de Signal et n’interagissent jamais avec le logiciel ou les données Signal, mais ils sont beaux et l’esthétique compte dans le programme. Nous avons une poignée de versions de fichiers que nous pensons esthétiquement agréables, et nous les redimensionnerons lentement au fil du temps. Il n’y a pas d’autre signification à ces fichiers « Une manière sarcastique d’indiquer qu’il peut ajouter des fichiers à son application de messagerie qui exploitent les vulnérabilités découvertes dans les applications Cellebrite

Moxie Marlinspike a déclaré qu’il avait été « incroyablement chanceux » de trouver un sac contenant des outils Cellebrite allongé sur le sol alors qu’il se promenait

En décembre, ce dernier a protesté contre l’affirmation de Cellebrite selon laquelle le logiciel de l’entreprise pourrait décoder Signal.

Moxie Marlinspike écrivait à l’époque: « Cellebrite a publié des informations très détaillées, puis les a rapidement retirées et les a remplacées par des informations qui ne contenaient aucun détail. » Ce n’est pas parce qu’ils ont «exposé» quoi que ce soit sur une technologie de pointe qu’ils l’ont développée (rappelez-vous, c’est une situation où quelqu’un pourrait ouvrir l’application et voir des messages), ils ont retiré leurs messages pour la raison exacte contraire: imbéciles

Signal et MobileCoin se combinent pour offrir des paiements entre les contacts du téléphone mobile, sans interférence de la banque

matière:
Sécurité électronique
Cyber ​​attaque
Données privées

Par

Chris Duckett

|
Modifié le jeudi 22 avril 2021 19:23

Recevez chaque jour les meilleures nouvelles des professionnels de l’informatique dans votre boîte de réception

Nous sommes temporairement en mode maintenance, ce qui signifie que vous ne pourrez pas vous abonner à une newsletter. Veuillez réessayer dans quelques instants pour reprendre le processus d’abonnement. Merci de votre patience.

Découvrez notre dossier

Nous accompagnons les petites et moyennes entreprises dans le développement de leur informatique Nous partageons avec vous nos témoignages clients, webinaires et livres blancs
5 fichiers informatiques à découvrir chaque mois

Découvrez la nouvelle génération d’unités de stockage qui offrent une disponibilité, des performances et une agilité inégalées
Inscrivez-vous au webinaire

Télétravail, infrastructure, astuces et innovations
Découvrez notre nouvelle section

Copyright © 2021 ZDNET, A RED VENTURES COMPANY Tous droits réservés CUP Interactive SAS (France) Tous droits réservés
Mentions légales | Secret
| Cookies | FAQ sur la politique de protection des données | Paramètres de gestion de la confidentialité

Signal, Hacking, Software, Cellphone, Moxie Marlinspike, Enterprise

News – FR – Signal révèle le dessous de Cellebrite
Titre associé :
C& # 39; probablement le hack le plus épique (et le plus méritant) de la décennie –
Signal endommage la réputation de l& # 39; Entreprise de piratage de smartphone Cellebrite
Le signal révèle le dessous de Cellebrite
Quand le créateur de signal pirate-t-il les outils de piratage de Cellebrite
snub pour Cellebrite, l& # 39; société qui exploite des téléphones pour les forces de l’ordre
Signal Fondateur: J& # 39; l& # 39 piraté; hors de la police pour briser les téléphones Cellebrite | pour pirater

Source: https://www.zdnet.fr/actualites/signal-expose-les-dessous-de-cellebrite-39921511.htm

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/