Precisazioni sul “leak” dei firmware Cellebrite UFED

Leak del rivenditore McSira dei software Cellebrite UFEDDa un paio di giorni si leggono notizie di un presunto “leak” dei firmware della società israeliana Cellebrite, da anni nostro fornitore per i prodotti di mobile e cloud forensics.

Il leak sarebbe stato pubblicato da McSira, un rivenditore dei prodotti di mobile forensics della serie UFED (UFED Touch, UFED4PC, UFED Phone Detective, UFED Cloud Analyzer e Link Analyzer). Le news paventano la possibilità, per gli hacker, di avere accesso al leak e, tramite reverse-engineering, scoprire come sbloccare gli smartphone e acquisire il contenuto della memoria, anche al fine di eseguire attività di recupero dati da cellulare.

Stando alla pagina web ancora oggi pubblicata online, il “leak” dei (link dei) firmware e software UFED sarebbe quindi composto dai seguenti download:

  • UFED Cloud Analyzer 5.2.2 (Sep 2016)
  • UFED Touch Firmware 5.3 (Sep 2016)
  • UFED 4PC Firmware 5.3 (Sep 2016)
  • UFED Physical/Logical Analyzer 5.3.5 (Sep 2016)
  • UFED Phone Detective 5.3 (Sep 2016)
  • UFED reader 5.3.5 (Sep 2016)
  • Link Analysis 4.4.1 (Jan 2016)
  • Full Release Notes
  • Release Notes 5.3 (Sep 2016)
  • UFED TOUCH phone supported list 5.3 (Sep 2016)
  • UFED Touch Firmware 5.3
  • UFED 4PC firmware 5.3

La realtà è che, come affermato anche da Mike Reilly, responsabile delle relazioni pubbliche Cellebrite, il software scaricabile online non è attivabile se non tramite il token USB di licenza hardware che Cellebrite fornisce soltanto ai clienti paganti.

Non c’è stato nessun leak o data exfiltration, nessuna pubblicazione di mirror dei binari o dei firmware, né nel clear web né nel dark web. Consideriamo infatti che i link di download dei prodotti Cellebrite sono sempre stati pubblici, nonostante il portale destinato agli utenti sia protetto da autenticazione. Chi è del mestiere (e i potenziali hacker, quindi) ha potuto esaminare il codice già da anni, senza che ne venisse fuori nulla, né un crack né il codice che permette di avere accesso ai dispositivi.

Download inibito dei link del leak Cellebrite UFEDUlteriore considerazione, McSira ha rimosso soltanto oggi i link, inserendo a pié di pagina l’indicazione “Verify latest versions on MyCellebrite.com” che punta al sito my.cellebrite.com (protetto da autenticazione) così da limitare questo fantomatico “leak dei firmware e dei software Cellebrite UFED”. Fino a ieri, nonostante la polemica, i link sono rimasti attivi, tantopiù che McSira non ha mai ospitato un mirror dei software UFED ma ha sempre solo linkato in modo diretto le URL ospitate presso il repository Cellebrite sul sito cdn5.cellebrite.org.

D’altra parte, Cellebrite non sembra preoccupata dalla cosa, lo dimostra il fatto che le URL di download dei prodotti UFED sono ancora pubblici, quindi chiunque conosca i link (o li può ricavare in qualche modo) continua ad avere – come già in passato – la possibilità di scaricare l’intero repository.