Signal斥Cellebrite解鎖有安全漏洞
原文刊於信報財經新聞「StartupBeat創科鬥室」
以色列網絡安全公司Cellebrite的通用取證設備(UFED),讓各地執法人員利用分析軟件Physical Analyzer,自行解鎖被扣押的手機,備份及審查當中的敏感數據,包括活動地點、相片、聯絡人及SIM卡紀錄等。該公司去年12月宣稱,已找到解密演算法,成功破解不少港人常用的加密通訊軟件Signal。
易遭篡改損警方調查成效
這場「網絡安全戰爭」尚未結束,Signal行政總裁Moxie Marlinspike周三(21日)在網誌撰文,聲稱近日「在難以置信的偶然下」在街上拾到一個黑色工具包,上面印有Cellebrite公司標誌。他打開拉鏈後發現,除了插座及各款制式接線,更有最新版本的手機解鎖軟件。他分析程式碼後發現,該軟件系統非常過時,部分動態連結函數庫(DLL)自2012年起未有再更新,容易招致黑客攻擊。
Marlinspike批評Cellebrite似乎不太小心,「有心人」只要利用有關保安漏洞,即可在Cellebrite的機器上隨意執行任何代碼,輕易修改警方收集到的數據,何時篡改更是無從稽考,基於解密數據作出的調查報告公信力難免受質疑。他進一步分析軟件後,發現內裏藏有蘋果公司的程式碼,可能涉及侵犯版權,Cellebrite的客戶或會承受法律風險。Marlinspike認為,在廠方修復所有漏洞前,Cellebrite用戶唯一的補救措施就是停用該設備。
路透引述Cellebrite聲明指出,公司有嚴格授權政策,規定如何允許客戶使用其技術,不得將其銷售給美國、以色列或受國際制裁的國家,致力保護數據完整性;未來將不斷審核及更新軟件,為客戶提供最佳的數碼情報解決方案。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。