جاسوس‌افزار Cellebrite با سوءاستفاده از آسیب‌پذیری‌های روز صفر، قفل صفحه اندروید را دور می‌زند

شرکت اطلاعات دیجیتال اسرائیلی Cellebrite، خدمات جمع‌آوری اطلاعات و بررسی‌های فارنزیک را به مشتریان خود ارائه می‌دهد. علاوه بر این، این شرکت از آسیب‌پذیری‌های روز صفر (0-day) فاش‌نشده‌ برای حملات جاسوس‌افزاری هدفمند علیه افراد خاص استفاده می‌کند.

در دسامبر ۲۰۲۴، گزارش‌هایی منتشر شد که نشان می‌داد صربستان آسیب‌پذیری‌ها و جاسوس‌افزارهای مرتبط را از Cellebrite و گروه NSO خریداری و مستقر کرده است. این اکسپلویت‌ها عمدتاً دستگاه‌های اندروید را هدف قرار داده و به مهاجمان این امکان را داده‌اند که قفل صفحه را دور بزنند و داده‌ها را استخراج کنند.

در اوایل ۲۰۲۵، یک فعال دانشجویی اهل صربستان که به‌طور علنی علیه سیاست‌های دولتی انتقاد می‌کرد، با استفاده از اکسپلویت روز صفر Cellebrite مورد حمله قرار گرفت. عفو بین‌الملل این حمله را محکوم کرده و آن را بخشی از سرکوب گسترده ‌تر آزادی‌های مدنی در صربستان دانسته است. گزارش این سازمان نشان می‌دهد که استفاده از فناوری Cellebrite برای نظارت غیرقانونی بر مخالفان در چندین کشور، ازجمله صربستان، افزایش یافته است.

در پی افشاگری ‌های عفو بین‌الملل، Cellebrite اعلام کرد که همکاری با مشتریان مرتبط در صربستان را به حالت تعلیق درآورده است. با این حال، این شرکت از ارائه جزئیات درباره اقدامات اصلاحی یا تحقیقات داخلی خودداری کرده است.

گوگل یکی از این آسیب‌پذیری‌ها را در آخرین به‌روزرسانی امنیتی اندروید اصلاح کرده و آن را با شناسه CVE-2024-53104 ثبت کرده است. در همین حال، دو آسیب‌پذیری دیگر CVE-2024-53197 و CVE-2024-50302 در کرنل لینوکس اصلاح شده‌اند، اما هنوز در پروژه متن‌باز اندروید (AOSP) ادغام نشده‌اند.

آسیب‌پذیری CVE-2024-53104 به‌طور خاص درایورهای کلاس USB کرنل لینوکس را تحت تأثیر قرار می‌دهد. با سوءاستفاده از این نقص، مشتریان Cellebrite (از جمله مقامات صربستانی) توانسته‌اند مکانیزم‌های امنیتی قفل صفحه اندروید را دور بزنند و دسترسی نامحدود به دستگاه‌های هدف را به دست آورند.

از آنجا که این آسیب‌پذیری مستقیما از کرنل لینوکس سرچشمه می‌گیرد، نه‌تنها اندروید بلکه توزیع‌های مختلف لینوکس و دستگاه‌های مبتنی بر لینوکس، بدون توجه به سازنده یا نوع دستگاه را نیز در معرض خطر قرار می‌دهد.

در حال حاضر، هیچ شواهدی مبنی بر سوءاستفاده از این آسیب‌پذیری علیه سیستم‌های غیراندرویدی وجود ندارد. معمولاً، آسیب‌پذیری‌های روز صفر با ارزش بالا، به ‌صورت محدود و با احتیاط زیاد مورد استفاده قرار می‌گیرند تا از شناسایی آن‌ها توسط محققان امنیتی جلوگیری شود.

روش حمله  با Cellebrite و نحوه بهره‌برداری

برای اکسپلویت(Exploit) موفق این آسیب‌پذیری، مهاجم باید دسترسی فیزیکی به دستگاه هدف داشته باشد. پس از در اختیار گرفتن دستگاه، جاسوس افزار از طریق ابزارهای اختصاصی روی آن مستقر می‌شود. این جاسوس‌افزار می‌تواند:

• داده‌های گسترده‌ای از دستگاه استخراج کند
• مکان‌یابی در لحظه (Real-time) انجام دهد
• امکان نظارت از راه دور را فعال کند

در مراحل اولیه حمله، دستگاه هدف از طریق پورت USB به ابزارهای جانبی مختلف متصل می‌شود. این ابزارها به‌صورت مکرر متصل و جدا می‌شوند تا در نهایت آسیب‌پذیری فعال شود و منجر به نشت حافظه کرنل و تغییر آن به‌عنوان بخشی از حمله شود.

ابزارهای USB مورد استفاده در این حمله، ممکن است ابزارهای ویژه‌ای باشند که نقش دستگاه‌های ویدیویی یا صوتی را تقلید می‌کنند، به‌گونه‌ای که سیستم فریب بخورد و به آن ها مجوزهای سطح بالا بدهد.

پس از سوءاستفاده موفق از آسیب‌پذیری و کسب دسترسی به دستگاه، مهاجم می‌تواند نرم‌افزارهای مخفی بیشتری روی سیستم نصب کند و عملاً یک جاسوس‌افزار روی دستگاه هدف مستقر کند.

منابع: