Un attivista giovanile serbo di 23 anni ha avuto il loro telefono Android mirato da un exploit zero-day sviluppato da Cellebrite per sbloccare il dispositivo, secondo un nuovo rapporto di Amnesty Worldwide.
“Il telefono Android di un manifestante studentesco è stato sfruttato e sbloccato da una sofisticata catena di exploit a zero giorni rivolta ai conducenti di Android USB, sviluppato da Cellebrite”, l’organizzazione internazionale non governativa dissel’aggiunta delle tracce dell’Exploit sono state scoperte in un caso separato a metà del 2024.
La vulnerabilità in questione è CVE-2024-53104 (Punteggio CVSS: 7.8), un caso di escalation del privilegio in un componente del kernel noto come driver UVC (USB Video Class). Una patch per il difetto è stata affrontata nel kernel Linux nel dicembre 2024. È stata successivamente affrontata advert Android all’inizio di questo mese.
Si ritiene che CVE-2024-53104 sia stato combinato con altri due difetti-CVE-2024-53197 e CVE-2024-50302-entrambi sono stati risolti nel kernel Linux. Devono ancora essere inclusi in un bollettino di sicurezza Android.
- CVE-2024-53197 (Punteggio CVSS: N/A)-Una vulnerabilità out-of-Bounds Entry Vulnerability per i dispositivi Extigy e Mbox
- CVE-2024-50302 (Punteggio CVSS: 5.5) – Un uso di una vulnerabilità delle risorse non iniziali che potrebbe essere utilizzata per perdere la memoria del kernel
“L’exploit, che ha preso di mira i driver USB del kernel Linux, ha consentito ai clienti Cellebrite con accesso fisico a un dispositivo Android bloccato per bypassare la schermata di blocco di un telefono Android e ottenere l’accesso privilegiato sul dispositivo”, ha affermato Amnesty.
“Questo caso evidenzia come gli aggressori del mondo reale stiano sfruttando la superficie di attacco USB di Android, sfruttando l’ampia gamma di driver del kernel USB legati sostenuti nel kernel Linux.”
L’attivista, a cui è stato dato il nome “Vedran” per proteggere la loro privateness, è stato portato a una stazione di polizia e il suo telefono è stato confiscato il 25 dicembre 2024, dopo aver partecipato a una protesta studentesca a Belgrado.
L’analisi di Amnesty ha scoperto che l’exploit è stato utilizzato per sbloccare il suo Samsung Galaxy A32 e che le autorità hanno tentato di installare un’applicazione Android sconosciuta. Mentre la natura esatta dell’app Android rimane poco chiara, il modus operandi è coerente con quello del precedente Spyware and adware novispy Infezioni riportate a metà dicembre 2024.
All’inizio di questa settimana, Cellebrite disse I suoi strumenti non sono progettati per facilitare qualsiasi tipo di attività informatica offensiva e che funzioni attivamente per ridurre l’uso improprio della sua tecnologia.
La società israeliana ha anche affermato che non consentirà più alla Serbia di utilizzare il proprio software program, affermando che “abbiamo trovato opportuno interrompere l’uso dei nostri prodotti da parte dei clienti pertinenti in questo momento”.
