Uluslararası Af Örgütü’nden yeni bir rapora göre, 23 yaşındaki Sırp genç bir genç aktivist, Cellebrite tarafından cihazın kilidini açmak için geliştirilen sıfır gün istismarını hedef aldı.
Uluslararası sivil hükümet dışı örgüt, 2014’ün ortalarında istismar izlerinin eklendiğini ekleyerek, “Bir öğrenci protestocunun Android telefonu, Cellebrite tarafından geliştirilen Android USB sürücülerini hedefleyen sofistike bir sıfır gün istismar zinciri tarafından kullanıldı ve açıldı.” Dedi.
Söz konusu güvenlik açığı, USB Video Sınıfı (UVC) sürücüsü olarak bilinen bir çekirdek bileşeninde ayrıcalık artış vakası olan CVE-2024-53104’tür (CVSS skoru: 7.8). Aralık 2024’te Linux çekirdeğinde kusur için bir yama ele alındı. Daha sonra bu ayın başlarında Android’de ele alındı.
CVE-2024-53104’ün her ikisi de Linux çekirdeğinde çözülmüş olan CVE-2024-53197 ve CVE-2024-50302-diğer iki kusurla birleştirildiğine inanılmaktadır. Henüz bir Android güvenlik bültenine dahil edilmedi.
- CVE-2024-53197 (CVSS Puanı: N/A)-Solma ve Mbox Cihazları için Bounds Access Güvenlik Açığı
- CVE-2024-50302 (CVSS Puanı: 5.5) – Çekirdek belleğini sızdırmak için kullanılabilecek başlatılmamış bir kaynak güvenlik açığının kullanımı
Amnesty, “Linux çekirdek USB sürücülerini hedefleyen istismar, bir Android telefonun kilit ekranını atlamak ve cihaza ayrıcalıklı erişim elde etmek için kilitli bir Android cihazına fiziksel erişime sahip Cellebrite müşterilerini etkinleştirdi.” Dedi.
“Bu dava, gerçek dünyadaki saldırganların Android’in USB saldırı yüzeyini nasıl kullandığını ve Linux çekirdeğinde desteklenen geniş eski USB çekirdek sürücülerinden yararlandığını vurgulamaktadır.”
Gizliliklerini korumak için “Vedran” adı verilen aktivist bir polis karakoluna götürüldü ve telefonuna Belgrad’da bir öğrenci protestosuna katıldıktan sonra 25 Aralık 2024’te el koydu.
Af’un analizi, istismarın Samsung Galaxy A32’nin kilidini açmak için kullanıldığını ve yetkililerin bilinmeyen bir Android uygulaması kurmaya çalıştığını buldu. Android uygulamasının kesin doğası belirsizliğini korurken, modus operandi, Aralık 2024 ortasında bildirilen önceki novispy casus yazılım enfeksiyonları ile tutarlıdır.
Bu haftanın başlarında Cellebrite, araçlarının herhangi bir tür saldırgan siber faaliyeti kolaylaştırmak için tasarlanmadığını ve teknolojisinin kötüye kullanılmasını azaltmak için aktif olarak çalıştığını söyledi.
İsrail şirketi ayrıca Sırbistan’ın yazılımını kullanmasına artık izin vermeyeceğini söyledi ve “Ürünlerimizin şu anda ilgili müşteriler tarafından kullanımını durdurmayı uygun bulduğumuzu” belirtti.