Сръбските власти съобщават, че са използвали верига от експлойти за Android, разработена от Cellebrite, за да отключат устройството на студентски активист в страната и да се опитат да инсталират шпионски софтуер.

Cellebrite е израелска компания за цифрова криминалистика, която разработва инструменти, използвани от правоприлагащите органи, разузнавателните служби и частните компании за извличане на данни от смартфони и други цифрови устройства.

Компании като Cellebrite обикновено използват експлойти от нулев ден за достъп и извличане на данни, които обикновено са защитени в заключени телефони.

Използването на този експлойт за Android е установено от Лабораторията за сигурност на Amnesty International в средата на 2024 г. по време на съдебномедицинско изследване на логовете на засегнатото устройство.

Преди това организацията съобщи за случаи на нарушаване на правото на неприкосновеност на личния живот в Сърбия през декември 2024 г. В отговор на разкритията Cellebrite обяви, че по-рано тази седмица е блокирала достъпа на службите за сигурност на страната (BIA) до своите инструменти.

След като Amnesty сподели своите констатации с Групата за анализ на заплахите (TAG) на Google, изследователите на Google успяха да посочат три уязвимости в USB драйверите на ядрото на Linux, използвани и в Android, които бяха използвани като нулеви дни.

• CVE-2024-53104 (USB Video Class exploit)
• CVE-2024-53197 (ALSA USB-sound driver exploit)
• CVE-2024-50302 (USB HID device exploit)

Първият недостатък беше поправен в актуализациите за сигурност на Android на Google от февруари 2025 г., като беше отбелязан като „подложен на ограничена, целенасочена експлоатация“.

Другите два недостатъка все още не са обявени за отстранени в бюлетините за актуализации на сигурността на Android и в зависимост от модела на устройството и от това колко често производителите актуализират ядрото му, това може да отнеме известно време.

Ръководителят на Лабораторията за сигурност в Amnesty, Донча О’Сиърбхайл, заяви, че закърпването на CVE-2024-53104 може да е достатъчно, за да се прекъсне цялата верига на експлоатация, въпреки че все още не могат да бъдат сигурни в това.

От GrapheneOS заявиха, че тяхната дистрибуция за Android вече има кръпки за CVE-2024-53197 и CVE-2024-50302, тъй като редовно актуализират най-новото ядро на Linux.

USB драйвери под обстрел

Обикновено USB експлойтите се възползват от уязвимости в USB системата на дадено устройство, като например драйвери, фърмуер или компоненти на ядрото, за да получат неоторизиран достъп или контрол над системата.

Чрез експлойта може да се постигне повреждане на паметта за изпълнение на произволен код, да се инжектират злонамерени команди или да се заобиколят заключените екрани.

Един от смекчаващите фактори е, че те изискват физически достъп до целевото устройство. В този случай, както и в много други подобни случаи, това изискване е било лесно изпълнено от полицията, която е задържала лицето и е конфискувала устройството му.

През април 2024 г. Google отстрани два недостатъка от типа „нулев ден“ (CVE-2024-29745 и CVE-2024-29748), които криминалистичните фирми използваха за отключване на телефони без ПИН код, прилагайки нулиране на паметта преди активиране на USB.

По-рано този месец Apple поправи проблем от типа „нулев ден“ (CVE-2025-24200), който Cellebrite и GrayKey използваха за заобикаляне на ограничения режим на USB, за да извличат данни от iPhone.

Основният Android не разполага с пряк еквивалент на USB Restricted Mode на Apple. Въпреки това потребителите все още могат да намалят заплахата, като изключат USB debugging (ADB), зададат режим на свързване с кабел на „Charge Only“ и активират Full Disk Encryption (Настройки → Сигурност и поверителност → Още сигурност и поверителност → Криптиране и пълномощия → Криптиране на телефона).