长亭百川云 - 文章详情

手机解锁硬科技!Cellebrite泄露文件揭示移动取证技术现状

关键基础设施安全应急响应中心

109

2024-07-20

根据404 Media核实的泄露文件,知名移动取证公司Cellebrite截至2024年4月仍无法解锁市场上大量现代iPhone。这些文件还详细展示了Cellebrite可以访问的各种Android手机和操作系统版本,为了解移动取证技术的最新状态提供了深刻的见解。移动取证公司通常不会公开其工具的具体型号或渗透能力,而是使用模糊术语进行营销。404 Media获得的文件虽已提供给客户,但未公开发布,显示了移动取证工具的成功或失败的瞬息万变,并突显了苹果和谷歌等硬件和操作系统制造商与寻找漏洞的黑客公司之间的持续猫鼠游戏。Cellebrite确认了文件的真实性并表示,这些文件旨在帮助客户了解技术能力,以便进行合法调查,并强调不会公开宣传更新,以防不法分子获得利用信息。Cellebrite还补充道,公司只与认为会合法行事且不会侵犯隐私权或人权的客户合作,并追踪他们。

在分析这些文件之前,美国联邦调查局(FBI)宣布已成功获取了枪手托马斯·马修·克鲁克斯(Thomas Matthew Crooks)的手机,克鲁克斯是前总统唐纳德·特朗普遇刺案的嫌疑人。联邦调查局尚未公布克鲁克斯所用手机品牌的详细信息,也没有说明如何解锁他的手机。

两个表格的标题分别为“Cellebrite iOS 支持矩阵”和“Cellebrite Android 支持矩阵”。一位匿名人士最近将完整的PDF文件发送给了404 Media,该文件显示了Cellebrite的技术能力。GrapheneOS是一款专注于隐私和安全的Android操作系统,此前曾于5月份在网上发布了同一份文件的截图,但未引起广泛关注。

对于能够运行iOS 17.4或更新版本的已锁定iPhone,Cellebrite文件称其为“正在研究”,意味着这些型号可能无法通过Cellebrite的工具解锁。对于iOS 17的先前版本(从17.1到17.3.1),Cellebrite表示它确实支持iPhone XR和iPhone 11系列。该文件称,Cellebrite最近为这些型号增加了对其Supersonic BF [暴力破解]功能的支持,但对于iPhone 12及更高版本,Cellebrite表示支持“即将推出”。

截至2024年4月,Cellebrite仅能解锁近五年前发布的运行iOS倒数第二版的iPhone。2024年4月iOS的最新版本是17.4.1,于2024年3月发布,而苹果随后在5月发布了17.5.1。根据苹果公开的数据,绝大多数iPhone用户已升级到iOS 17,77%的iPhone安装了该操作系统,过去四年推出的iPhone中有87%安装了该操作系统。

Cellebrite提供多种移动取证工具,包括UFED,这是一种可以从物理连接的手机中提取数据的硬件设备。此外,Cellebrite还销售Cellebrite Premium,这项服务为客户的UFED提供更多功能,或在Cellebrite自己的云中处理,或作为“离线交钥匙解决方案”提供。

Cellebrite在其网站上的视频声称,Cellebrite Premium能够获取“当今几乎所有移动设备,包括最新的iOS和Android版本”的密码。然而,泄露的文件显示,截至4月,Cellebrite无法从运行iOS 17.4的已锁定iPhone上获取数据。

表格2显示,Cellebrite对锁定的Android设备也没有全面覆盖,尽管其覆盖了列出的大多数设备。例如,Cellebrite无法暴力破解已关闭的Google Pixel 6、7或8来获取用户数据。根据文件,Android的最新版本是2023年10月发布的Android 14,Pixel 6于2021年发布。

Cellebrite高级通讯总监Victor Ryan Cooper向404 Media证实了泄露文件的真实性,并表示这些文件“旨在帮助我们的客户在开展合乎道德、合法的调查时了解 Cellebrite的技术能力”。Cooper强调,Cellebrite不会公开宣传其能力,以避免协助犯罪活动。

Cellebrite并非唯一一家针对iOS设备的移动取证公司。Grayshift制造了GrayKey产品,最初专注于iOS设备,后来扩展到Android手机。目前尚不清楚GrayKey的功能。2023年与Grayshift合并的Magnet Forensics未立即回应置评请求。

Cellebrite的Android文档还提到了GrapheneOS。GrapheneOS是一个隐私保护意识强的操作系统,404 Media采访了多位向毒贩出售安全手机的地下行业人士,他们表示,近年来一些客户已转向使用GrapheneOS。GrapheneOS创始人Daniel Micay告诉404 Media,该系统曾加入了讨论移动取证问题的Discord服务器,但有些警察对其不满并要求禁止其账号。

移动取证专家社区中,讨论解锁技巧和缺点的讨论保持高度保密。2018年,Motherboard报道过执法官员试图隐藏有关手机解锁工具的电子邮件。为获取更多信息,Motherboard通过公共记录请求了更多电子邮件。谷歌和苹果尚未回应置评请求。

关于Cellebrite DI Ltd

Cellebrite DI Ltd.是一家总部位于以色列佩塔提克瓦的数字情报公司。作为Sun Corporation(JASDAQ:6736)的全资子公司,Cellebrite为联邦、州和地方执法部门及企业提供数字数据收集、审查、分析和管理工具。Cellebrite的旗舰产品系列是Cellebrite UFED(统一取证设备),广泛应用于移动取证领域。该公司在全球设有14个办事处,包括美国华盛顿特区、德国慕尼黑和新加坡的商业中心。2021年,加密消息应用程序Signal的创建者Moxie Marlinspike揭示了Cellebrite UFED和Physical Analyzer软件中的多个漏洞,允许在运行这些软件的计算机上执行任意代码。2020年,Cellebrite向沙特阿拉伯提供手机黑客服务,并与美国移民和海关执法局(ICE)签订了价值3500万美元的合同,进一步扩大了其在执法和政府领域的影响力。Cellebrite凭借其强大的数字取证能力和技术创新,在全球范围内为执法和安全机构提供了重要支持,尽管其技术挑战和法律争议也时常引发关注。

附:Cellebrite泄露的机密文件

参考资源

1、https://www.404media.co/leaked-docs-show-what-phones-cellebrite-can-and-cant-unlock/

2、https://www.documentcloud.org/documents/24833832-cellebrite-ios-document-april-2024

3、https://grapheneos.social/@GrapheneOS/112462756293586146?ref=404media.co

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2