Телефон студента из Сербии взломан с помощью уязвимости Cellebrite

Анонимный читатель приводит цитату из отчета Ars Technica: Amnesty International в пятницу заявила, что установила использование нулевого дня эксплойта, проданного спорным поставщиком эксплойтов Cellebrite, для компрометации телефона сербского студента, критиковавшего правительство страны. [...] Связка уязвимостей использовала ряд слабых мест в драйверах устройства, которые ядро Linux использует для поддержки USB-оборудования. Этот новый случай предоставляет дополнительные доказательства того, что власти Сербии продолжают кампанию наблюдения за гражданским обществом после нашего отчета, несмотря на всеобщие призывы к реформам как внутри Сербии, так и извне, а также на расследование злоупотребления продуктом со стороны Cellebrite, — написали авторы отчета.

Amnesty International впервые обнаружила доказательства этой цепи атак год назад при расследовании отдельного инцидента за пределами Сербии, связанного с тем же обходом блокировки экрана на Android. [...] В отчете говорится, что одна из уязвимостей, отслеживаемая как CVE-2024-53104, была исправлена в начале этого месяца с выходом февральского бюллетеня по безопасности Android 2025. Две другие уязвимости — CVE-2024-53197 и CVE-2024-50302 — были исправлены в ядре Linux, но еще не инкорпорированы в Android. Форензические следы, обнаруженные при анализе компрометированного телефона Amnesty International, показали, что сербские власти пытались установить неизвестное приложение после разблокировки устройства. Авторы отчета отметили, что установка приложений на устройствах, скомпрометированных Cellebrite, соответствует ранее выявленным случаям, в которых устанавливалась шпионская программа NoviSpy.

В рамках атаки USB-порт целевого телефона был подключен к различным периферийным устройствам на начальных этапах. В последующих этапах периферия повторно подключалась к телефону, чтобы раскрывать ядерную память и подготовить ядерную память в рамках эксплуатации. Люди, анализировавшие телефон, отметили, что периферийные устройства вероятно были специализированными устройствами, эмулирующими видео или звуковые устройства, подключающиеся к целевому устройству. 23-летний студент, владелец телефона, регулярно участвует в продолжающихся студенческих протестах в Белграде.

Любым пользователям Android, которые еще не установили февральский патч, следует сделать это как можно скорее.