Seorang aktivis pemuda Serbia berusia 23 tahun memiliki ponsel Android mereka yang ditargetkan oleh eksploitasi nol hari yang dikembangkan oleh Cellebrite untuk membuka kunci perangkat, menurut laporan baru dari Amnesty International.
“Telepon Android dari seorang pemrotes mahasiswa dieksploitasi dan dibuka oleh rantai eksploitasi nol-hari yang canggih yang menargetkan driver USB Android, yang dikembangkan oleh Cellebrite,” kata organisasi non-pemerintah internasional, menambahkan jejak eksploitasi ditemukan dalam kasus terpisah pada pertengahan 2024.
Kerentanan yang dimaksud adalah CVE-2024-53104 (skor CVSS: 7.8), kasus eskalasi hak istimewa dalam komponen kernel yang dikenal sebagai driver USB Video Class (UVC). Sebuah tambalan untuk cacat itu dibahas dalam kernel Linux pada bulan Desember 2024. Itu kemudian dibahas di Android awal bulan ini.
Dipercaya bahwa CVE-2024-53104 dikombinasikan dengan dua kelemahan lainnya-CVE-2024-53197 dan CVE-2024-50302-keduanya telah diselesaikan dalam kernel Linux. Mereka belum dimasukkan dalam Buletin Keamanan Android.
- CVE-2024-53197 (Skor CVSS: N/A)-Kerentanan akses di luar batas untuk perangkat exter dan mbox
- CVE-2024-50302 (Skor CVSS: 5.5) – Penggunaan kerentanan sumber daya yang tidak diinisialisasi yang dapat digunakan untuk membocorkan memori kernel
“Eksploitasi, yang menargetkan driver USB kernel Linux, memungkinkan pelanggan Cellebrite dengan akses fisik ke perangkat Android yang terkunci untuk memotong layar kunci ponsel Android dan mendapatkan akses istimewa pada perangkat,” kata Amnesty.
“Kasus ini menyoroti bagaimana penyerang dunia nyata mengeksploitasi permukaan serangan USB Android, mengambil keuntungan dari berbagai macam warisan pengemudi kernel USB yang didukung dalam kernel Linux.”
Aktivis itu, yang telah diberi nama “Vedran” untuk melindungi privasi mereka, dibawa ke kantor polisi dan teleponnya disita pada 25 Desember 2024, setelah ia menghadiri protes mahasiswa di Beograd.
Analisis Amnesty menemukan bahwa eksploitasi itu digunakan untuk membuka kunci Samsung Galaxy A32 -nya dan bahwa pihak berwenang berusaha menginstal aplikasi Android yang tidak diketahui. Sementara sifat tepat dari aplikasi Android masih belum jelas, modus operandi konsisten dengan infeksi spyware novispy sebelumnya yang dilaporkan pada pertengahan Desember 2024.
Awal pekan ini, Cellebrite mengatakan alat -alatnya tidak dirancang untuk memfasilitasi segala jenis aktivitas cyber ofensif dan bahwa ia bekerja secara aktif untuk mengurangi penyalahgunaan teknologinya.
Perusahaan Israel juga mengatakan tidak akan lagi mengizinkan Serbia menggunakan perangkat lunaknya, menyatakan “kami merasa pantas untuk menghentikan penggunaan produk kami oleh pelanggan yang relevan saat ini.”
