Un provocador rozagante serbio de 23 primaveras tenía su teléfono Android dirigido por un exploit de día cero desarrollado por Cellebrite para desbloquear el dispositivo, según un nuevo documentación de Indulto Internacional.
“El teléfono Android de un manifestante estudiantil fue explotado y desbloqueado por una sofisticada sujeción de exploites de día cero dirigida a los impulsores USB de Android, desarrollados por Cellebrite”, dijo la estructura no estatal internacional, y agregó los rastros de la exploit en un caso separado a mediados de 2024.
La vulnerabilidad en cuestión es CVE-2024-53104 (puntaje CVSS: 7.8), un caso de ascensión de privilegios en un componente del núcleo conocido como el regulador de clase de video USB (UVC). Se abordó un parche para la equivocación en el kernel de Linux en diciembre de 2024. Después se abordó en Android a principios de este mes.
Se cree que CVE-2024-53104 se combinó con otros dos defectos: CVE-2024-53197 y CVE-2024-50302, los cuales se han resuelto en el núcleo de Linux. Aún no se han incluido en un boletín de seguridad de Android.
- CVE-2024-53197 (Puntuación CVSS: N/A)-Una vulnerabilidad de paso fuera de los límites para dispositivos Extigy y Mbox
- CVE-2024-50302 (Puntuación CVSS: 5.5) – Un uso de una vulnerabilidad de fortuna no inicializada que podría estilarse para filtrar la memoria del núcleo
“El exploit, que se dirigió a los controladores USB de Linux Kernel, permitió a los clientes de Cellebrite con paso físico a un dispositivo Android bloqueado para evitar la pantalla de incomunicación de un teléfono Android y obtener paso privilegiado en el dispositivo”, dijo Indulto.
“Este caso destaca cómo los atacantes del mundo verdadero están explotando la superficie de ataque USB de Android, aprovechando la amplia escala de controladores de núcleo USB heredados que apoyan en el núcleo de Linux”.
El provocador, a quien se le ha cubo el nombre de “Vedran” para proteger su privacidad, fue llevado a una tiempo de policía y su teléfono confiscado el 25 de diciembre de 2024, luego de asistir a una protesta estudiantil en Belgrado.
El descomposición de Indulto encontró que el exploit se usó para desbloquear su Samsung Galaxy A32 y que las autoridades intentaron instalar una aplicación de Android desconocida. Si proporcionadamente la naturaleza exacta de la aplicación Android sigue sin estar clara, el modus operandi es consistente con la de las infecciones de spyware novios anteriores reportadas a mediados de diciembre de 2024.
A principios de esta semana, Cellebrite dijo que sus herramientas no están diseñadas para allanar ningún tipo de actividad cibernética ataque y que funciona activamente para someter el mal uso de su tecnología.
La compañía israelí igualmente dijo que ya no permitirá a Serbia usar su software, indicando que “nos pareció apropiado detener el uso de nuestros productos por parte de los clientes relevantes en este momento”.
