Комментарии 42
Взломанный UFED, кстати, на днях слили (в комментариях можно найти зеркала).
Блин, и чем теперь оттереть монитор? Весь жиром заляпан.
Как-то маловероятно, что такие вещи возят "как щебёнку", которую не страшно и немного просыпать :).
Пока не докажете обратное, так оно и было :)
Вот и у меня сомнение: а не оказалась ли у исследователя в руках грубая подделка?
Ну есть фразу [выпало из машины] заменить на ["выпало" из машины], то всё становится намного проще.
"В армии нет понятия 'украли', есть понятие 'проеб#л', нет понятия 'украл', есть понятие 'нашёл'" (с) анекдот
"железный замочек" facepalm. Наверное в оригинале было что-то типа "hardware lock", подразумевая аппаратный ключ типа hasp-а.
Немного напомнило историю со взломом внутренней сети компании, которая занималась разработкой античитинговой системы для онлайн игр, с помощью кода, встроенного в читинговую программу.
Бангладеш не склоняется
НЛО прилетело и опубликовало эту надпись здесь
Ниже человек привёл ссылку что только что перестали https://m.habr.com/ru/post/554188/#comment_22964310
20 лет непотопляемый президент, который продлевает себе президентские сроки через изнасилование конституции, узурпировавший власть и ведущий прокси-войны с соседними государствами каждые 5-8 лет, чтобы власть удержать — это, по вашему, не авторитарный режим? А что же тогда авторитарный режим?
Это перевод, если вы не заметили. Это точка зрения автора, то есть Мокси.
А минусовать тут не за что, все ошибаются.
P.S. По Беларуси значит претензий нет? :)
Мне кажется что раскрывать публично сам факт таких уязвимостей — не отражает дух белошапочников. Достаточно было использовать эстетически приятные файлы, желательно настолько эстетичные, что от них станут прекраснее «все прошлые и будущие отчёты»
А готовность рассказать про уязвимости в ответ на их рассказ — прекрасно.
Ну ёлки! Тут же на хабре была новость о том, что Cellebrite с марта больше не продают свой софт «авторитарным режимам в России и в Беларуси». А тут говорят что «В список их клиентов входят авторитарные режимы в Беларуси, России, Венесуэле и Китае»
А каким благородным покупателям продают? Имхо товар такого рода продается без идентификации покупателя вообще
Продают в страны где «неавторитарный режим».
У вас только IMHO, а я лично пробовал не купить, а просто получить try'n'buy версию UFED Physical Analyzer когда они у себя на сайте её ещё давали (лет пять назад это было, или семь, уж точно и не помню). Так вот прежде чем выдать ссылку для скачивания они проверят валидность указанного e-mail, валидность фирмы, которую указал (частным лицам даже demo не давали, надо было именно настоящую фирму указывать, причём не «Рога и Копыта», а фирму которая по-настоящему связана с МВД, ФСБ, мобильным форенсиком и т.д., просто «ИП Вася Пупкин» они отказывали сразу же — не форенсик, значит тебе это нафиг не надо, «Давай, дасвиданья!»), валидность адреса этой фирмы… В общем ещё тогда там приходилось делать такие финты ушами и совершать такие пляски с бубном чтобы получить хотя бы try'n'buy версию, что «мама не горюй!» А чтобы купить полноценную версию (которая отличалось от try'n'bye только тем, что работала не месяц, а вечно) проверки осуществлялись ещё более жёсткие. А сейчас если укажешь в «country» Россию вообще сразу же от ворот-поворот дают, проверял.
Так что идентификация покупателя у Cellebrite была и есть.
Имхо товар такого рода продается без идентификации покупателя вообще
У вас только IMHO, а я лично пробовал не купить, а просто получить try'n'buy версию UFED Physical Analyzer когда они у себя на сайте её ещё давали (лет пять назад это было, или семь, уж точно и не помню). Так вот прежде чем выдать ссылку для скачивания они проверят валидность указанного e-mail, валидность фирмы, которую указал (частным лицам даже demo не давали, надо было именно настоящую фирму указывать, причём не «Рога и Копыта», а фирму которая по-настоящему связана с МВД, ФСБ, мобильным форенсиком и т.д., просто «ИП Вася Пупкин» они отказывали сразу же — не форенсик, значит тебе это нафиг не надо, «Давай, дасвиданья!»), валидность адреса этой фирмы… В общем ещё тогда там приходилось делать такие финты ушами и совершать такие пляски с бубном чтобы получить хотя бы try'n'buy версию, что «мама не горюй!» А чтобы купить полноценную версию (которая отличалось от try'n'bye только тем, что работала не месяц, а вечно) проверки осуществлялись ещё более жёсткие. А сейчас если укажешь в «country» Россию вообще сразу же от ворот-поворот дают, проверял.
Так что идентификация покупателя у Cellebrite была и есть.
Ну, строго говоря, «входит в список клиентов» не обязательно означает «продают». Если продавали ещё в марте (а та новость утверждает, что последние покупки были совсем свежие) то в России должны быть работающие комплексы Cellebrite.
Так что вы оба правы.
Так что вы оба правы.
В России есть работающие комплексы Cellebrite, уж это я знаю точно. Но купить новый с марта в России стало весьма проблематично. Да и обновить предыдущую версию UFED в России (не знаю как насчёт Беларуси) стало тоже проблемой. Несмотря на то что предыдущая версия была куплена официально, но до марта 2021 года.
Кстати, шведский MSAB XRY, канадский Magnet AXIOM и даже нашу российскую Evidence Center от питерской Belkasoft тоже не особо легко купить частным лицам или фирмам, которые официально не занимаются форенсикой и не относятся ни к МВД, ни к ФСБ. Вот что я имел в виду, говоря что «идентификация покупателя у Cellebrite была и есть», указывая на высказываение оппонента «Имхо товар такого рода продается без идентификации покупателя вообще» что он тут не совсем прав. Все (хорошо, не все, но большинство) производители подобного софта продают свои программы далеко не всем подряд. А Celebrite с марта 2021 в Россию вообще свой комплекс не продаёт.
Кстати, шведский MSAB XRY, канадский Magnet AXIOM и даже нашу российскую Evidence Center от питерской Belkasoft тоже не особо легко купить частным лицам или фирмам, которые официально не занимаются форенсикой и не относятся ни к МВД, ни к ФСБ. Вот что я имел в виду, говоря что «идентификация покупателя у Cellebrite была и есть», указывая на высказываение оппонента «Имхо товар такого рода продается без идентификации покупателя вообще» что он тут не совсем прав. Все (хорошо, не все, но большинство) производители подобного софта продают свои программы далеко не всем подряд. А Celebrite с марта 2021 в Россию вообще свой комплекс не продаёт.
Клиенты, потому как уже приобрели оборудование. А сейчас возможно что-то докупить и поддержка отсутствует, но сильно сомневаюсь, что нельзя купить через третьих лиц. Это бизнес и ничего кроме бизнеса.
Ниже приведён пример видео эксплойта для UFED (аналогичные эксплойты существуют и для Physical Analyzer). В видео, UFED достигает файла, который выполняет произвольный код на машине Cellebrite. Этот эксплойт использует MessageBox в Windows API, чтобы отобразить диалоговое окно с сообщением.
Интересно было бы взглянуть не на видео демонстрацию этого эксплойта, а на его исходный код.
мы обнаружили, что можно выполнить произвольный код на машине с Cellebrite, просто добавив специально отформатированный, но в остальном безобидный файл в любое приложение на устройстве, которое впоследствии подключается к Cellebrite и сканируется.
Как его там, интересно, «специально форматировать»? Если говорится что «Этот эксплойт использует MessageBox в Windows API» то значит это должна быть программа под WIndows. А на видео они сканируют айфон. И можно ли такое же сделать для Android?
Вообще статья вызвала больше вопросов, чем ответов. Как пела группа «Манго-манго» в песне «Аквалангисты»: «У нас есть ТАКИЕ приборы! Но мы вам о них не расскажем!» Хоть бы маленький пример самого эксплойта, а не демонстрация видео как он работает.
Я в своё время колупал UFED Physical Analyzer и не заметил чтобы он хотя бы пытался хоть как-то выполнить те данные, которые он скачивает с телефона — просто скачивал и клал в определённую директорию на компьютере. Но ничего из скаченного не запускал. Или я не доковырял его именно до того места где он запускает (зачем?) скаченные с телефона данные, или это видео демонстрации работы эксплойта — фейк. Не, пока я не увижу это реально, реальный код этого «специально отформатированного» кода я лично в это всё не поверю, эта статья тянет на какую-то первоапрельскую шутку.
В статье же написано про ffmpeg от 2012 года. Настолько жирная подсказка, что даже странно видеть подобные комментарии.
И чего? Я тупой, я не вижу в этом никакой подсказки, тем более жирной.
Ещё раз:
Так при чём тут ffmpeg?
И да, там же написано:
То есть «ffmpeg от 2012 года» насколько я могу видеть не имеет никакого отношения именно к этому эксплойту.
Ещё раз:
Я в своё время колупал UFED Physical Analyzer и не заметил чтобы он хотя бы пытался хоть как-то выполнить те данные, которые он скачивает с телефона — просто скачивал и клал в определённую директорию на компьютере. Но ничего из скаченного не запускал.
Так при чём тут ffmpeg?
И да, там же написано:
В качестве лишь одного примера (не связанного с тем, что следует далее), их программное обеспечение укомплектовано с библиотеками FFmpeg, которые были скомпилированы ещё в 2012 году, и в дальнейшем не менялись.
То есть «ffmpeg от 2012 года» насколько я могу видеть не имеет никакого отношения именно к этому эксплойту.
Т.е., рассказ про «внезапно передо мной выпал чемоданчик с аппаратным ключом» вы тоже всерьёз воспринимаете?
Цитата из моего же комментария выше:
Ничего не скажу про Signal, его я не смотрел, но на UFED Physical Analyzer я смотрел и пересмотрел и через ILSpy (львиная доля там написана на C#), и в дебаггере (небольшое число компонент написано на C++), и восстанавливал некоторые модули в их исходный код на Python (которые были скомпилированы в DLL при помощи IronPython и вот эта статья, которая изначально была тут, на Хабре, написана была как раз по мотивам моего изучения питонячьих модулей UFED Physical Analyzer) и не нашёл там ничего такого, о чём говорится в данной статье. Да, на UFED4PC не смотрел, было уже неактуально, но на Physical Analyzer смотрел и как минимум в то, что
я не верю пока не увижу этот «специально отформатированный код». Лучше один раз увидеть, чем сто раз услышать.
эта статья тянет на какую-то первоапрельскую шутку.
Ничего не скажу про Signal, его я не смотрел, но на UFED Physical Analyzer я смотрел и пересмотрел и через ILSpy (львиная доля там написана на C#), и в дебаггере (небольшое число компонент написано на C++), и восстанавливал некоторые модули в их исходный код на Python (которые были скомпилированы в DLL при помощи IronPython и вот эта статья, которая изначально была тут, на Хабре, написана была как раз по мотивам моего изучения питонячьих модулей UFED Physical Analyzer) и не нашёл там ничего такого, о чём говорится в данной статье. Да, на UFED4PC не смотрел, было уже неактуально, но на Physical Analyzer смотрел и как минимум в то, что
Ниже приведён пример видео эксплойта для UFED (аналогичные эксплойты существуют и для Physical Analyzer)
я не верю пока не увижу этот «специально отформатированный код». Лучше один раз увидеть, чем сто раз услышать.
Было бы странно, если бы запускал. Но может он картинки и видео парсит, ну, чтоб thumbnail-ов наделать. Может он в архивы смотрит, и может на zip bomb подорваться (хоть это и не поможет MessageBox вывести). Может utf8 неправильно обрабатывает в смсках — было же в iOS несколько багов на эту тему, что Cellebrite обязательно лучше?
Варианты есть.
Варианты есть.
Да как при простом парсинге картинок, видео или архивов можно сделать так, чтобы запустился MessageBox в Windows API с конкретным сообщением? И не только MessageBox в Windows API, но и была возможность запустить что-то более сложное, которое позволило бы «можно выполнить произвольный код на машине с Cellebrite, просто добавив специально отформатированный, но в остальном безобидный файл в любое приложение на устройстве, которое впоследствии подключается к Cellebrite и сканируется. Ограничений на код, который может быть выполнен, практически нет.»? Где пруфы? Пока что я вижу только слова, в реальность которых лично я поверить никак не могу.
Насколько я помню при неправильной обработке utf8 в iOS просто телефон подвисал, но чтобы телефон мог влиять на программу, которая запущена на компе, подключенном к телефону через USB кабель и указывать что этой программе делать… Как говорилось в известном мультфильме: «Ох уж эти сказочки! Ох уж эти сказочники!»
Насколько я помню при неправильной обработке utf8 в iOS просто телефон подвисал, но чтобы телефон мог влиять на программу, которая запущена на компе, подключенном к телефону через USB кабель и указывать что этой программе делать… Как говорилось в известном мультфильме: «Ох уж эти сказочки! Ох уж эти сказочники!»
Простите, если кого-то ностальгия выбьет из колеи, но не могу не описать уходящее воспоминание.
Как-то раз в начале тысячелетия мне потребовалось перепрошить новенький мобильник, уже не могу вспомнить что за модель, может SL45.
Покупать под это дело кабель не давала жаба, и я где-то в интернете нашёл контакты человека, который предлагал услуги. Мы договорились встретится у метро. Я приехал и увидел странную картину: к его машине стояла очередь и быстро двигалась.
Когда подошла очередь, я сел и протянул телефон, он открыл бардачок и из такой же, как на картинке в посте, аккуратной сумочки выбрал подходящий кабель, воткнул в крутой по тем временам ноут и в течении 5 минут перепрошил мой телефончик, параллельно отсчитывая сдачу.
Я был последним в очереди, и он уехал сразу, как я вышел из машины. Теперь в телефоне уже из-за новой прошивки была icq, я там же вошёл в свой пятизнак и похвастался друзьям, что теперь у меня мобильная аська.
Больше я никогда не видел настолько аккуратных хакеров, КДПВ напомнила.
Как-то раз в начале тысячелетия мне потребовалось перепрошить новенький мобильник, уже не могу вспомнить что за модель, может SL45.
Покупать под это дело кабель не давала жаба, и я где-то в интернете нашёл контакты человека, который предлагал услуги. Мы договорились встретится у метро. Я приехал и увидел странную картину: к его машине стояла очередь и быстро двигалась.
Когда подошла очередь, я сел и протянул телефон, он открыл бардачок и из такой же, как на картинке в посте, аккуратной сумочки выбрал подходящий кабель, воткнул в крутой по тем временам ноут и в течении 5 минут перепрошил мой телефончик, параллельно отсчитывая сдачу.
Я был последним в очереди, и он уехал сразу, как я вышел из машины. Теперь в телефоне уже из-за новой прошивки была icq, я там же вошёл в свой пятизнак и похвастался друзьям, что теперь у меня мобильная аська.
Больше я никогда не видел настолько аккуратных хакеров, КДПВ напомнила.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Signal: Взлом Cellebrite с атакованного устройства