Sırp bir gazetecinin telefonunun kilidi ilk olarak Cellebrite aracıyla açıldı ve daha sonra kod adı daha önce belgelenmemiş bir casus yazılım tarafından ele geçirildi. NoviSpyUluslararası Af Örgütü’nün yayınladığı yeni bir rapora göre.
Şirket, “NoviSpy, enfeksiyon sonrasında hedefin telefonundan hassas kişisel verilerin yakalanmasına olanak tanıyor ve telefonun mikrofonunu veya kamerasını uzaktan açma olanağı sağlıyor” dedi. söz konusu 87 sayfalık teknik raporda.
Adli kanıtların analizi, casus yazılım kurulumunun bağımsız gazeteci Slaviša Milanov’a ait telefonun 2024 yılının başlarında gözaltında tutulması sırasında Sırp polisinin elindeyken meydana geldiğine işaret ediyor.
Diğer hedeflerden bazıları arasında gençlik aktivisti Nikola Ristić, çevre aktivisti Ivan Milosavljević Buki ve Batı Balkanlar’da diyalog ve uzlaşmayı destekleyen Belgrad merkezli bir kuruluş olan Krokodil’den ismi açıklanmayan bir aktivist vardı.
Bu gelişme, gözetlemeyi ve hassas verilerin sızmasını kolaylaştırmak için iki farklı son derece istilacı teknolojinin kombinasyon halinde kullanıldığı bilinen ilk örneklerden birine işaret ediyor.
Özellikle NoviSpy, ele geçirilen telefonlardan, telefondaki tüm eylemlerin ekran görüntüleri, hedeflerin konumları, ses ve mikrofon kayıtları, dosyalar ve fotoğraflar dahil olmak üzere çeşitli türde bilgileri toplamak üzere tasarlanmıştır. Android Hata Ayıklama Köprüsü kullanılarak yüklenir (adb) komut satırı yardımcı programı ve iki uygulama biçiminde tezahür eder –
- NoviSpyYönetici (com.serv.services), arama kayıtlarını, SMS mesajlarını, kişi listelerini toplamak ve mikrofon aracılığıyla ses kaydetmek için kapsamlı izinler ister
- NoviSpy Erişimi (com.accessibilityservice), e-posta hesaplarından ve Signal ve WhatsApp gibi mesajlaşma uygulamalarından gizlice ekran görüntüleri toplamak, dosyaları sızdırmak, konumu izlemek ve kamerayı etkinleştirmek için Android’in erişilebilirlik hizmetlerini kötüye kullanan
NoviSpy’ı tam olarak kimin geliştirdiği henüz bilinmiyor, ancak Uluslararası Af Örgütü söylenmiş 404 Media, bunun ya Sırp makamları tarafından kendi bünyesinde inşa edilmiş olabileceğini ya da üçüncü bir taraftan satın alınmış olabileceğini söyledi. Casus yazılımın geliştirilmesinin en az 2018’den beri devam ettiği söyleniyor.
Uluslararası Af Örgütü, “Bu araçlar bir arada, devlete casus yazılımlarda olduğu gibi gizlice ve Cellebrite cep telefonu çıkarma teknolojisinin yasa dışı ve gayri meşru kullanımı yoluyla açık bir şekilde veri toplama konusunda muazzam bir yetenek sağlıyor” dedi.
Sivil toplum kuruluşu ayrıca, Sırbistan Güvenlik Bilgi Ajansı’nın (BIA) en az 2014’ten bu yana casus yazılım araçlarının satın alınmasıyla kamuya açık bir şekilde bağlantılı olduğunu ve FinFisher’ın FinSpy’ı, Intellexa’nın Predator’ı ve NSO Group’un Pegasus’u gibi çeşitli teklifleri kullanarak gizlice casusluk yaptığını belirtti. protesto organizatörleri, gazeteciler ve sivil toplum liderleri.
bir ifade Associated Press ile paylaşılan açıklamada, Sırbistan polisi raporu “kesinlikle yanlış” olarak nitelendirdi ve “adli tıp aracının dünya çapındaki diğer polis güçleri tarafından aynı şekilde kullanıldığını” belirtti.
Bulgulara yanıt veren İsrailli Cellebrite şirketi, araçlarının kötüye kullanıldığı iddialarını araştırdığını ve son kullanıcı anlaşmasını ihlal ettikleri tespit edilirse ilgili kurumlarla ilişkisini sonlandırmak da dahil olmak üzere uygun önlemleri alacağını söyledi.
Araştırma aynı zamanda Cellebrite’ın evrensel adli veri çıkarma cihazı tarafından kullanılan sıfır gün ayrıcalık yükseltme istismarını da ortaya çıkardı (UFED) – kolluk kuvvetlerinin şunları yapmasına olanak tanıyan bir yazılım/sistem verilerin kilidini açın ve verilere erişin Sırp bir aktivistin cihazına daha yüksek erişim sağlamak için cep telefonlarında saklanıyor.
CVE-2024-43047 (CVSS puanı: 7,8) olarak takip edilen güvenlik açığı, Qualcomm’un Dijital Sinyal İşlemcisi (DSP) Hizmeti’nde (adsprpc) bulunan ve HLOS’un bellek haritalarını korurken “bellek bozulmasına” yol açabilecek, kullanıcı tarafından serbest bırakılan bir hatadır. hafıza.” Çip üreticisi tarafından Ekim 2024’te yama uygulandı.
Bu yılın başlarında yaygın olarak kullanılan (ITW) istismar tarafından oluşturulan çekirdek panik günlüklerinin alınmasının ardından “daha geniş bir kod inceleme süreci” başlatan Google, adsprpc sürücüsünde CVE- dahil olmak üzere toplam altı güvenlik açığı keşfettiğini söyledi. 2024-43047.
Google Project Zero’dan Seth Jenkins, “Android için yonga seti sürücüleri, saldırganlar için umut verici bir hedeftir ve bu ITW istismarı, mevcut üçüncü taraf satıcı sürücüsü güvenlik duruşunun son kullanıcılara yol açtığı olumsuz sonuçların gerçek dünyadan anlamlı bir örneğini temsil ediyor.” söz konusu.
“Bir sistemin siber güvenliği, yalnızca en zayıf halkası kadar güçlüdür ve yonga seti/GPU sürücüleri, 2024’te Android’de ayrıcalık ayrımı açısından en zayıf halkalardan birini temsil ediyor.”
Gelişme, Access Now ve Uluslararası Af Örgütü gibi diğer sivil toplum kuruluşlarının yanı sıra Demokrasi ve Teknoloji Merkezi’nin (CDT) Avrupa kolu olarak geliyor. bir mektup gönderdi Avrupa Birliği Konseyi Polonya Başkanlığı’na ticari gözetim araçlarının kötüye kullanılmasına karşı eyleme öncelik verilmesi çağrısında bulundu.
Bu aynı zamanda Lookout’un, Anakara Çin’deki kolluk kuvvetleri yetkililerinin EagleMsgSpy kod adlı yasal bir müdahale aracını, mobil cihazlara fiziksel erişim sağladıktan sonra mobil cihazlardan geniş bir yelpazede bilgi toplamak için nasıl kullandıklarına ilişkin yakın zamanda yayınlanan bir raporun da ardından geliyor.
Bu ayın başlarında Citizen Lab ayrıca Rus hükümetinin bir adamı Ukrayna’ya para bağışladığı için tutukladığını ve onu serbest bırakmadan önce Android telefonuna bir çağrı kaydedici uygulamasının truva atı haline getirilmiş versiyonu olan casus yazılım yerleştirdiğini ortaya çıkardı.