Şubat 2024’te Sırp gazeteci Slaviša Milanov, rutin bir trafik kontrolü gibi görünen bir olayın ardından polis karakoluna götürüldü. Ancak serbest bırakıldıktan sonra, karakolun resepsiyon personeline bırakması istenen telefonun tuhaf davranması, veri ve Wi-Fi ayarlarının kapatılması, olası bir hacklenme belirtisiydi.
Milanov olayla ilgili olarak Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı ile temasa geçti ve bu durum birçok dikkate değer keşfe yol açtı: Dünya çapında polis ve istihbarat güçleri tarafından yaygın olarak kullanılan ticari bir adli araç, Qualcomm’un sıfır gün güvenlik açıklarını kullanarak daha önce bilinmeyen Android casus yazılımını Milanov’un telefonuna yerleştirmek için kötüye kullanılmıştı. , hepsi yasal süreç olmadan. Uluslararası Af Örgütü’nün soruşturması, en az üç ek vakayı ve potansiyel olarak “yüzlerce olmasa da düzinelerce” vakayı daha bulmak üzere derinleştirildi.
Uluslararası Af Örgütü’nün yeni bir raporunda ayrıntıları verilen bulgular, Uluslararası Hukuk ve ürünün kullanım koşullarını ihlal ettiğini söylediği İsrail merkezli Cellebrite’ın yardımıyla Sırbistan’ın kendi vatandaşları hakkında nasıl casusluk yaptığına ışık tutuyor.
Uluslararası Af Örgütü’nün Avrupa Bölge Direktör Yardımcısı Dinushika Dissanayake yaptığı açıklamada, “Araştırmamız, Sırp yetkililerin gözetleme teknolojisini ve dijital baskı taktiklerini sivil topluma yönelik daha geniş devlet kontrolü ve baskı araçları olarak nasıl kullandığını ortaya koyuyor” dedi.
“Ayrıca, dünya çapında polis ve istihbarat servisleri tarafından yaygın olarak kullanılan Cellebrite mobil adli bilişim ürünlerinin, sıkı yasal kontrol ve gözetim dışında kullanıldığında insan haklarını, çevreyi ve ifade özgürlüğünü savunanlar için nasıl büyük bir risk oluşturabileceğini de vurguluyor.”
Cellebrite, Yeni ‘NoviSpy’ Android Casus Yazılımını Yüklemek İçin Suistimal Edildi
Uluslararası Af Örgütü Güvenlik Laboratuvarı, NSO Group’un Pegasus casus yazılımı gibi daha iyi bilinen araçlardan daha az güçlü olmasına rağmen, yine de “hedef telefondan hassas kişisel verileri yakalayabilen ve telefonun mikrofonunu veya kamerasını açma yetenekleri sağlayan” NoviSpy adlı, daha önce bilinmeyen bir casus yazılım aracı tespit etti. uzaktan.”
Uluslararası Af Örgütü, Cellebrite’ın adli araçlarının “hem casus yazılım bulaşmasından önce telefonun kilidini açmak için kullanıldığını hem de bir cihazdaki verilerin çıkarılmasına olanak sağladığını” belirterek, Cellebrite’ın bu iddiaları araştırdığını ekledi.
Uluslararası Af Örgütü, “En az iki vakada, Cellebrite UFED açıklarından yararlanan yazılımlar (bir hata veya güvenlik açığından yararlanan yazılım), Android cihaz güvenlik mekanizmalarını atlatmak için kullanıldı ve bu da yetkililerin polis görüşmeleri sırasında gizlice NoviSpy casus yazılımını yüklemesine olanak sağladı” dedi.
Başkan Donncha Ó Cearbhaill, “Adli tıp kanıtlarımız, NoviSpy casus yazılımının, Sırp polisi Slaviša’nın cihazına sahipken kurulduğunu ve enfeksiyonun, cihazın kilidini açabilen Cellebrite UFED gibi gelişmiş bir aracın kullanımına bağlı olduğunu kanıtlıyor” dedi. Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı’ndan.
Uluslararası Af Örgütü’nün 87 sayfalık raporundaki ikinci bir vaka, çevre aktivisti Nikola Ristić’in “sonraki NoviSpy enfeksiyonunu etkinleştirmek için bir cihazın kilidini açmak için kullanılan Cellebrite ürünlerine ilişkin benzer adli deliller” ile ilgiliydi.
Raporda ayrıca Finfisher, NSO Group ve Intellexa’nın Sırp yetkilileri tarafından son on yılda casus yazılım kullanımı veya satın alınması geçmişi de ayrıntılarıyla anlatılıyor.
Android Casus Yazılımları İçin Kullanılan Qualcomm Güvenlik Açıkları
Uluslararası Af Örgütü, bulgularını ayrı bir teknik blogda detaylandıran soruşturmada Google’ın Tehdit Analiz Grubu (TAG) ile birlikte çalıştı.
Bulgular arasında, Cellebrite UFED’de kullanılan ve “bu araştırma sırasında yamalanan” sıfır gün Android serbest kullanımdan sonra güvenlik açığı (CVE-2024-43047) ve muhtemelen istismar edilen beş ek Qualcomm güvenlik açığının keşfi yer alıyor. bir saldırı zincirinde.
Google, güvenlik açıklarından ikisinin (CVE-2024-49848 ve CVE-2024-21455) Qualcomm tarafından endüstri standardı olan 90 günlük son tarih kapsamında düzeltilmediğini ve CVE-2024-49848’in rapor edilmesinden 145 gün sonra yama yapılmadan kaldığını söyledi.
Android Casus Yazılımını Yüklemek İçin Kullanılan Sıfır Tıklama Saldırısı
Uluslararası Af Örgütü, bazı durumlarda Zengin İletişim Paketi (RCS) araması için Android cihazlarda kullanılan Wifi Üzerinden Ses veya LTE Üzerinden Ses (VoLTE) işlevlerini hedef alan sıfır tıklama saldırısının kullanılmış olabileceğini öne sürdü. Raporda, bir kurbana gönderilen rastgele, geçersiz numaraların ekran görüntüsü (aşağıda yeniden yayınlanmıştır) yer alıyordu; bu ekran görüntüsü sonrasında telefonun pili hızla tükenmeye başladı.
İlgili