專門協助全球政府或警方破解行動裝置的以色列科企 Cellebrite ,被加密通訊軟件 Signal 指,他們已成功分析 Cellebrite 工具,並指該工具存在大量安全風險,抽取手機資料的完整性與可信度嚴重受影響。Signal 指日後會在 iPhone「加入一個檔案」,此檔案被認為是應付 Cellebrite 黑客工具。
Signal 創辦人 Moxie Marlinspike (4月21日)周三指,經評估 Cellebrite 後,認為它「看來不太在乎其軟件安全」。Moxie Marlinspike 指出,只要在手機加裝一個經修改檔案,便可破壞 Cellebrite 的軟件功能並提取資料,Cellebrite 抽取手機資料的完整性與可信度將嚴重受影響。Marlinspike 指,僅加裝一個經修改檔案後,就能變更 Cellebrite 裝置正在掃描的報告內容,甚至還能變改 Cellebrite 的記錄,任意篡改或加入掃描報告中任何內容,完全未見 Time Stamp 或檢驗失敗等記錄,令抽出來的內容變得不可靠。
Rosenfeld 更指出,Cellebrite 更使用 2012 年的 DLL 文件,由於未有更新,當中有超過 100 個安全漏洞未被修補,令 Cellebrite 作為破解手機安全軟件反而輕易能被黑客攻擊。同時他發現軟件中含有兩個由 iTunes 抽取出來的 MSI 檔案,這兩個檔案協助程式連接 iPhone 手機,軟件公司似乎未有經 Apple 授權而擅自拿來使用,有侵權之嫌疑。
Signal 創辦人 Moxie Marlinspike 指,他自己是從路邊意外撿到從貨車掉落的最新的 Cellebrite 黑客工具。他指出在 Cellebrite 工具的安全性問題未解決之前,不應拿作掃描手機。
最後 Signal 表示他們日後會在 iPhone 加入一個檔案,此檔案不會令用戶私隱受到影響,但有時「美感是很重要」。此言論被認為是應對 Cellebrite 黑客工具而所做的措施。
Cellebrite 主要與各地執法部門合作,協助破解獲取目標人物的手機通話、短訊、圖片等記錄,公司估值約 24 億美元(約186億港元)。香港警方曾使用 Cellebrite提供的技術,破解黃之鋒的iPhone XR手機密碼和圖片作呈堂之用。因應美國更改法例,Cellebrite 去年 10 月宣佈停止向香港及中國提供數碼技術支援和服務。
資料來源 : Signal
—
新增 : unwire.hk Mewe 專頁 : https://mewe.com/p/unwirehk
Signal 推出用戶名稱功能 可避免公開自己手機號碼
