Het forensisch bedrijf Cellebrite gebruikt een kwetsbaarheid in Android om de beveiliging van Androidtelefoons te omzeilen. De Servische autoriteiten hebben tooling van Cellebrite gebruikt om data van de telefoon van een milieuactivist te kopiëren en probeerden die vervolgens met spyware te infecteren, zo stelt Amnesty International. De kwetsbaarheid (CVE-2024-43047) waarvan Cellebrite volgens Amnesty misbruik van maakt bevindt zich in de digital signal processing (DSP) driver van chipfabrikant Qualcomm, dat afgelopen oktober met een update kwam.

Een aanvaller die al toegang tot de telefoon heeft kan dit beveiligingslek misbruiken voor het veroorzaken van een use after free. Hierdoor kan een aanvaller onder andere code uitvoeren of zijn rechten verhogen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Het probleem raakt meer dan zestig chipsets van Qualcomm. Verdere details over het beveiligingslek of de waargenomen aanvallen werden in oktober niet gegeven. Qualcomm meldde alleen dat misbruik is bevestigd door Google Project Zero en Amnesty International Security Lab.

Zowel Google als Amnesty zijn nu met meer details over de misbruikte kwetsbaarheid gekomen. Volgens de mensenrechtenorganisatie hebben de Servische autoriteiten samen met Cellebrite de eerder genoemde kwetsbaarheid gebruikt om de beveiliging van Androidtelefoons te omzeilen. In het geval van de milieuactivist had hij zelf zijn toestel ontgrendeld toen de autoriteiten dat meenamen. Vervolgens werd geprobeerd de NoviSpy-spyware te installeren.

Vermoedelijk mislukte dit door maatregelen van Google Play Protect, die installatie van onbekende APK's buiten de Play Store blokkeren. Bij andere activisten was de infectie wel succesvol, zo laat Amnesty weten. Eenmaal actief kan de spyware gevoelige persoonlijke gegevens van een doeltelefoon vastleggen en de microfoon of camera van een telefoon op afstand inschakelen. Ook is het mogelijk om berichten van bijvoorbeeld Signal en WhatsApp te lezen.

"De forensische tools van Cellebrite worden gebruikt om de telefoon te ontgrendelen voordat de spyware wordt geïnstalleerd en om de gegevens van een apparaat te verzamelen", aldus Amnesty. De organisatie stelt dat de tactiek van het heimelijk installeren van spyware op apparaten van mensen tijdens detentie of ondervragingen op grote schaal door de Servische autoriteiten lijkt te zijn toegepast.

“Cellebrite wordt wereldwijd op grote schaal gebruikt door politie- en inlichtingendiensten. Als de digitale tools van Cellebrite worden gebruikt zonder strikte wettelijke controle en toezicht, kan dat een enorm risico vormen voor mensen die opkomen voor mensenrechten, het milieu en de vrijheid van meningsuiting", laat Amnesty verder in een rapport weten.

Cellebrite zegt in een reactie dat de software geen malware installeert en geen real-time surveillance uitvoert 'die overeenkomt' met spyware of andere offensieve cyberactiviteit. "We nemen alle beschuldigingen serieus over mogelijk misbruik van onze technologie door een klant op manieren die in strijd zijn met zowel de expliciete als impliciete voorwaarden in onze eindgebruikersovereenkomst." Google publiceerde technische details over CVE-2024-43047 en hoe het onderzoek uiteindelijk zes kwetsbaarheden in de DSP-driver van Qualcomm opleverde.