une autre place

Moxie Marlinspike, co-fondatrice d’Instant Messaging Signal, a obtenu des documents que Cellebrite a fournis aux autorités sur demande. Cette société propose des solutions toutes faites pour extraire du contenu depuis les smartphones, mais aussi dans l’Apple Store avant qu’Apple ne développe ses propres données solution de transfert

>

Il faut dire que Cellebrite ne récupère pas les données en utilisant les fonctions fournies par les fabricants de smartphones son argument et toute sa préoccupation auprès des forces de l’ordre impliquées est justement de permettre la récupération de données naturellement cryptées et inaccessibles dont le rôle est de contourner la protection qu’Apple a mise en place dans iOS et Google dans Android et son logiciel interne exploite plusieurs vulnérabilités de sécurité pour cette raison

C’est ce qui rend les découvertes de Moxie Marlinspike si amusantes. En fouinant à travers Cellebrite, le créateur de Signal a révélé un nombre étonnant de vulnérabilités de sécurité. La société israélienne n’a apparemment pas déployé beaucoup d’efforts pour sécuriser son propre logiciel, les composants obsolètes souffrent à partir de plusieurs failles connues dès Un exemple de ffmpeg, un outil de lecture et de conversion vidéo très populaire qui est apparu dans la version 2012 alors qu’il y avait plus d’une centaine de correctifs de sécurité publiés depuis lors.

Ce filtre de sécurité offre de nombreuses opportunités pour pénétrer Cellebrite et il n’est même pas nécessaire de mettre en place un mécanisme complexe: un simple fichier sur un smartphone peut permettre d’exécuter du code automatiquement et sans connaître le programme Les possibilités sont énormes et si l’exemple de la vidéo affiche simplement un message sous Windows, les conséquences d’un véritable hack seraient catastrophiques pour Cellebrite

En utilisant cette méthode, un smartphone contenant le bon fichier peut infecter le poste de travail de Cellebrite et menacer l’intégrité des rapports générés par le programme. Le code peut prendre soin de cacher les fichiers compromis, voire générer des rapports complètement faux, qui peuvent annuler l’action. L’enquête ou le procès en entier, selon la situation Et comme c’est le cas, cette attaque sera permanente et fonctionnera sur tous les rapports générés par la boîte affectée

Pour aggraver les choses, le recours à Cellebrite est très limité. L’entreprise devra fournir une mise à jour logicielle pour combler toutes les vulnérabilités, mais étant donné l’ampleur du problème, il est peu probable qu’elle soit en mesure de fermer toutes les vulnérabilités. sans les oublier. Et pour tous les ETF d’aujourd’hui, le seul espoir des utilisateurs est de ne pas tomber sur un smartphone qui exploite la vulnérabilité La difficulté augmente car le code exécuté automatiquement peut également masquer ses traces, empêchant efficacement toute détection

Cependant, Moxie Marlinspike propose de fournir à Cellebrite une liste de vulnérabilités découvertes lors de son analyse du logiciel. En revanche, il ne demande qu’une chose: pour la société israélienne en retour de documenter toutes les failles de sécurité exploitées pour ouvrir les smartphones. Comme cela rendrait leurs boîtes inutiles, il n’y a aucune chance que cela se produise

Incidemment, le créateur de Signal a également indiqué que Cellebrite s’appuie sur des fichiers Apple intégrés dans la version Windows d’iTunes qui permettent la synchronisation d’un appareil iOS, et le programme se fait passer pour iTunes avec le système d’exploitation mobile créé dans Cupertino Ces fichiers sont propriétaires et à moins que Cellebrite n’obtienne une licence, ce qui est peu probable, ils sont utilisés sans autorisation Il s’agit d’un angle d’attaque disponible pour Apple, si vous le souhaitez.

Cellebrite ferait mieux de prendre la menace au sérieux, car Signal a l’intention d’exploiter ces vulnérabilités Dans une future mise à jour, IM hébergera des fichiers qui exécuteront du code lorsque le smartphone concerné passera par le programme de minage fourni par la société israélienne.

iPhone San Bernardino déconnecté de la source d’alimentation en raison d’un défaut de Mozilla ou grâce à Cellebrite?
tu devrais savoir!

Qu’il s’agisse d’un bug X ou d’un défaut dans l’entreprise A ou B, peu importe, et surtout, c’est négligeable donc personne ne le saura avec certitude.

Il ne sert à rien de regarder les gens avec mépris
Avez-vous remarqué une erreur? Il existe une fonction pour rapporter des informations à MacG
Les informations sont récentes, il n’y a qu’un seul éditeur, d’où cette petite erreur
J’ai encore une belle journée

« Dans une prochaine mise à jour, la messagerie instantanée hébergera des fichiers qui exécuteront du code lorsque le smartphone concerné passera par le programme de minage fourni par la société israélienne. »

Les ennemis de mes ennemis que mes amis peuvent passer 🙂
C’est donc juste un fichier destiné à améliorer la sécurité de l’application 🙂

Cela ne sera probablement pas détectable tant que les validateurs Apple n’auront pas branché l’appareil d’une célébrité pour déverrouiller le signal

Tout ce que vous avez à faire est de mettre un fichier « corrompu » dans votre application?

J’aime quand des « hackers » (un terme piraté, inapproprié mais qui peut être compris par tout le monde) sont piratés par une personne blanche
Quant à Apple, vous ne savez pas qu’il détournait un travail iTunes pour accéder au contenu, je ne peux pas y croire pendant une minute

Je ne suis pas sûr que Cellebrite dérange trop Apple et d’autres. Cela permet à leurs produits de ne pas être complètement scellés et apaise un peu la colère des régulateurs.
D’une part, les marques peuvent se défendre que ces entreprises exploitent les vulnérabilités et non les clés génériques fournies par les fabricants.

Tout le monde y gagne et les constructeurs peuvent garder leur image auprès du grand public
C’est la politique du moins mauvais et tous deux profitent de la présence de l’autre

Ce serait vrai si Apple ne faisait pas tout pour restreindre l’activité des célébrités en bambou, c’est l’incapacité de communiquer avec l’iPhone s’il n’est pas déverrouillé

C’est déjà dans les paramètres: Face ID / Touch ID en bas, vous êtes les bienvenus 😉

Oh, parce que vous pensez vraiment qu’Apple n’a pas beaucoup étudié Cellebrite, surtout après avoir utilisé son système et donc posséder son propre matériel? Pensez-vous qu’avec tous les ingénieurs et tous les moyens dont dispose Apple, ils n’ont pas vraiment découvert ces failles et donc développé une contre-attaque? J’en doute fortement

Et surtout, les derniers iPhone sont souvent ceux qui ont la plus longue résistance à cette tâche, mises à jour, mises à niveau, etc.
Les mauvais trafiquants de drogue doivent donc acheter des palettes des derniers iPhones chaque année 🙂

La chose la plus intéressante a été de déterminer les vulnérabilités que Cellebrite utilise pour accéder aux téléphones, donc cela viendra certainement à l’étape suivante.

> Un smartphone avec le bon fichier peut infecter le poste de travail de Cellebrite et menacer l’intégrité des rapports générés par le logiciel

Très bien
Les voyous ont juste à « protéger » leurs smartphones avec de tels fichiers, pour s’assurer que le Celebright est nivelé! Ou installez simplement Signal 😀

Il ne reste plus qu’à rendre ce fichier disponible avec mise à jour toutes les X semaines et tout va bien: D

Numéro du service de presse en ligne reconnu par le CCPAP 0924 W 93490 Tous droits réservés

Version 13 Réinitialiser les paramètres de données privées

Signal, logiciel, Moxie Marlinspike, téléphone portable

Actualités – AR – Arroseur arrosé: Cellebrite peut être facilement piratée

Source: https://www.macg.co/ailleurs/2021/04/arroseur-arrose-le-logiciel-de-cellebrite-peut-tres-simplement-etre-hacke-son-tour-121027

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/