Sırp bir gazetecinin telefonunun kilidi ilk olarak Cellebrite aracıyla açıldı ve daha sonra kod adı daha önce belgelenmemiş bir casus yazılım tarafından ele geçirildi. NoviSpyUluslararası Af Örgütü’nün yayınladığı yeni bir rapora göre.
Şirket, 87 sayfalık teknik raporunda “NoviSpy, enfeksiyon sonrasında hedefin telefonundan hassas kişisel verilerin yakalanmasına olanak tanıyor ve telefonun mikrofonunu veya kamerasını uzaktan açma olanağı sağlıyor” dedi.
Adli kanıtların analizi, casus yazılım kurulumunun bağımsız gazeteci Slaviša Milanov’a ait telefonun 2024 yılının başlarında gözaltında tutulması sırasında Sırp polisinin elindeyken meydana geldiğine işaret ediyor.
Diğer hedeflerden bazıları arasında gençlik aktivisti Nikola Ristić, çevre aktivisti Ivan Milosavljević Buki ve Batı Balkanlar’da diyalog ve uzlaşmayı destekleyen Belgrad merkezli bir kuruluş olan Krokodil’den ismi açıklanmayan bir aktivist vardı.
Bu gelişme, gözetlemeyi ve hassas verilerin sızmasını kolaylaştırmak için iki farklı son derece istilacı teknolojinin kombinasyon halinde kullanıldığı bilinen ilk örneklerden birine işaret ediyor.
Özellikle NoviSpy, ele geçirilen telefonlardan, telefondaki tüm eylemlerin ekran görüntüleri, hedeflerin konumları, ses ve mikrofon kayıtları, dosyalar ve fotoğraflar dahil olmak üzere çeşitli türde bilgileri toplamak üzere tasarlanmıştır. Android Debug Bridge (adb) komut satırı yardımcı programı kullanılarak yüklenir ve iki uygulama biçiminde görüntülenir:
- NoviSpyYönetici (com.serv.services), arama kayıtlarını, SMS mesajlarını, kişi listelerini toplamak ve mikrofon aracılığıyla ses kaydetmek için kapsamlı izinler ister
- NoviSpy Erişimi (com.accessibilityservice), e-posta hesaplarından ve Signal ve WhatsApp gibi mesajlaşma uygulamalarından gizlice ekran görüntüleri toplamak, dosyaları sızdırmak, konumu izlemek ve kamerayı etkinleştirmek için Android’in erişilebilirlik hizmetlerini kötüye kullanan
NoviSpy’ı tam olarak kimin geliştirdiği henüz bilinmiyor, ancak Uluslararası Af Örgütü 404 Media’ya bunun Sırp makamları tarafından kendi bünyesinde inşa edilmiş veya üçüncü bir taraftan alınmış olabileceğini söyledi. Casus yazılımın geliştirilmesinin en az 2018’den beri devam ettiği söyleniyor.
Uluslararası Af Örgütü, “Bu araçlar bir arada, devlete casus yazılımlarda olduğu gibi gizlice ve Cellebrite cep telefonu çıkarma teknolojisinin yasa dışı ve gayri meşru kullanımı yoluyla açık bir şekilde veri toplama konusunda muazzam bir yetenek sağlıyor” dedi.
Bulgulara yanıt veren İsrailli Cellebrite şirketi, araçlarının kötüye kullanıldığı iddialarını araştırdığını ve son kullanıcı anlaşmasını ihlal ettikleri tespit edilirse ilgili kurumlarla ilişkisini sonlandırmak da dahil olmak üzere uygun önlemleri alacağını söyledi.
Araştırma aynı zamanda Cellebrite’ın evrensel adli veri çıkarma cihazı (UFED) tarafından kullanılan sıfır gün ayrıcalık yükseltme istismarını da ortaya çıkardı. Bu yazılım/sistem, kolluk kuvvetlerinin cep telefonlarında depolanan verilerin kilidini açmasına ve bu verilere erişim kazanmasına olanak tanıyarak daha yüksek erişim elde edilmesini sağlıyor. bir Sırp aktivistin cihazına.
CVE-2024-43047 (CVSS puanı: 7,8) olarak takip edilen güvenlik açığı, Qualcomm’un Dijital Sinyal İşlemcisi (DSP) Hizmeti’nde (adsprpc) bulunan ve HLOS’un bellek haritalarını korurken “bellek bozulmasına” yol açabilecek, kullanıcı tarafından serbest bırakılan bir hatadır. hafıza.” Çip üreticisi tarafından Ekim 2024’te yama uygulandı.
Bu yılın başlarında yaygın olarak kullanılan (ITW) istismar tarafından oluşturulan çekirdek panik günlüklerinin alınmasının ardından “daha geniş bir kod inceleme süreci” başlatan Google, adsprpc sürücüsünde CVE- dahil olmak üzere toplam altı güvenlik açığı keşfettiğini söyledi. 2024-43047.
Google Project Zero’dan Seth Jenkins, “Android için yonga seti sürücüleri, saldırganlar için umut verici bir hedeftir ve bu ITW istismarı, mevcut üçüncü taraf satıcı sürücüsü güvenlik duruşunun son kullanıcılara yol açtığı olumsuz sonuçların gerçek dünyadan anlamlı bir örneğini temsil ediyor.” söz konusu.
“Bir sistemin siber güvenliği, yalnızca en zayıf halkası kadar güçlüdür ve yonga seti/GPU sürücüleri, 2024’te Android’de ayrıcalık ayrımı açısından en zayıf halkalardan birini temsil ediyor.”
Bu gelişme, Demokrasi ve Teknoloji Merkezi’nin (CDT) Avrupa kolunun Access Now ve Uluslararası Af Örgütü gibi diğer sivil toplum kuruluşlarının yanı sıra Avrupa Birliği Konseyi’nin Polonya Başkanlığı’na eyleme öncelik verilmesi çağrısında bulunan bir mektup göndermesiyle ortaya çıktı. ticari gözetim araçlarının kötüye kullanılmasına karşı.
Bu aynı zamanda Lookout’un, Anakara Çin’deki kolluk kuvvetleri yetkililerinin EagleMsgSpy kod adlı yasal bir müdahale aracını, mobil cihazlara fiziksel erişim sağladıktan sonra mobil cihazlardan geniş bir yelpazede bilgi toplamak için nasıl kullandıklarına ilişkin yakın zamanda yayınlanan bir raporun da ardından geliyor.
Bu ayın başlarında Citizen Lab ayrıca Rus hükümetinin bir adamı Ukrayna’ya para bağışladığı için tutukladığını ve onu serbest bırakmadan önce Android telefonuna bir çağrı kaydedici uygulamasının truva atı haline getirilmiş versiyonu olan casus yazılım yerleştirdiğini ortaya çıkardı.