USB odhaluje osobní údaje v Androidu
3 min read
rbské bezpečnostní složky použily řetězec zranitelností Androidu zero-day vyvinutých izraelskou společností Cellebrite k odemknutí telefonu studentského aktivisty a pokusu o instalaci spywaru. Amnesty International objeveno skutečnosti provozu v polovině roku 2024 během analýzy protokolů zařízení.
Cellebrite se specializuje na digitální forenzní vědu a vyvíjí nástroje pro vymáhání práva, zpravodajské agentury a soukromé společnosti k získávání dat z mobilních zařízení. Takové společnosti často využívají Zero-day exploity k obcházení ochrany zamčených telefonů.
Po zveřejnění možného porušení práv na soukromí v Srbsku v prosinci 2024 Amnesty International, Cellebrite zablokoval přístup ke svým nástrojům pro srbské speciální služby. Informace o tom, kdy přesně úřady získaly přístup k zranitelnosti a zneužily ji, však zůstávají neznámé.
Google potvrdil tři zranitelnosti v linuxových USB ovladačích používaných v Androidu, které se podílely na útoku:
— CVE-2024-53104 (CVSS skóre: 7,8) (Využití USB Video Class);
— CVE-2024-53197 (CVSS skóre: 5,5) (Využití zvukového ovladače ALSA USB);
— CVE-2024-50302 (CVSS skóre: 5,5) (Využití zařízení USB HID).
První zranitelnost obdržel opravu v Únorová bezpečnostní aktualizace Android 2025, který je klasifikován jako „omezená využitelnost“. Další dva zatím nejsou součástí oficiálních oprav. Oprava chyb může chvíli trvat, zejména u zařízení, která zřídka dostávají aktualizace jádra.
V laboratoři Amnesty Security Lab stanovený , že oprava CVE-2024-53104 může přerušit celý řetězec využívání, ale zatím o tom není úplná jistota. Na druhé straně vývojáři GrapheneOS poznamenal že jejich verze Androidu již obsahuje opravy dvou zbývajících zranitelností.
Google vydal opravy OEM partnerům 18. ledna. Všechny chyby zabezpečení budou zahrnuty v budoucích bulletinech zabezpečení systému Android a stanou se povinnými pro instalaci od určité úrovně zabezpečení.
Chyby zabezpečení USB se často používají k obcházení zabezpečení zařízení, což umožňuje spuštění libovolného kódu, škodlivé příkazy nebo obcházení zamykací obrazovky. Vykořisťování však vyžaduje fyzický přístup ke smartphonu – v tomto případě toho bylo dosaženo zadržením majitele zařízení policií. Na rozdíl od Apple nemá standardní Android podobný omezený režim USB, ale uživatelé mohou minimalizovat rizika tím, že v nastavení zakážou ladění USB a povolí funkci šifrování dat.
Několik srbských nevládních organizací podal stížnosti proti policejním a bezpečnostním úředníkům s odkazem na údaje ze zprávy Amnesty International o používání špionážních technologií ke sledování novinářů a aktivistů. Podle zpráva „Digitální vězení“ zveřejněná 16. prosince Srbské úřady používaly spyware, který by po instalaci do zařízení mohl poskytovat rozsáhlé možnosti sledování. Svědectví novinářů a aktivistů potvrzují skutečnost, že tento software byl instalován při výsleších.
https://t.me/zahadyakonspirace
Autorství: Kopie materiálů někoho jiného