Un activista juvenil serbio de 23 años tenía su teléfono Android dirigido por un exploit de día cero desarrollado por Cellebrite para desbloquear el dispositivo, según un nuevo informe de Amnistía Internacional.
«El teléfono Android de un manifestante estudiantil fue explotado y desbloqueado por una sofisticada cadena de exploites de día cero dirigida a los impulsores USB de Android, desarrollados por Cellebrite», dijo la organización no gubernamental internacional, y agregó los rastros de la exploit en un caso separado a mediados de 2024.
La vulnerabilidad en cuestión es CVE-2024-53104 (puntaje CVSS: 7.8), un caso de escalada de privilegios en un componente del núcleo conocido como el controlador de clase de video USB (UVC). Se abordó un parche para la falla en el kernel de Linux en diciembre de 2024. Posteriormente se abordó en Android a principios de este mes.
Se cree que CVE-2024-53104 se combinó con otros dos defectos: CVE-2024-53197 y CVE-2024-50302, los cuales se han resuelto en el núcleo de Linux. Aún no se han incluido en un boletín de seguridad de Android.
- CVE-2024-53197 (Puntuación CVSS: N/A)-Una vulnerabilidad de acceso fuera de los límites para dispositivos Extigy y Mbox
- CVE-2024-50302 (Puntuación CVSS: 5.5) – Un uso de una vulnerabilidad de recursos no inicializada que podría usarse para filtrar la memoria del núcleo
«El exploit, que se dirigió a los controladores USB de Linux Kernel, permitió a los clientes de Cellebrite con acceso físico a un dispositivo Android bloqueado para evitar la pantalla de bloqueo de un teléfono Android y obtener acceso privilegiado en el dispositivo», dijo Amnistía.
«Este caso destaca cómo los atacantes del mundo real están explotando la superficie de ataque USB de Android, aprovechando la amplia gama de controladores de núcleo USB heredados que apoyan en el núcleo de Linux».
El activista, a quien se le ha dado el nombre de «Vedran» para proteger su privacidad, fue llevado a una estación de policía y su teléfono confiscado el 25 de diciembre de 2024, después de asistir a una protesta estudiantil en Belgrado.
El análisis de Amnistía encontró que el exploit se usó para desbloquear su Samsung Galaxy A32 y que las autoridades intentaron instalar una aplicación de Android desconocida. Si bien la naturaleza exacta de la aplicación Android sigue sin estar clara, el modus operandi es consistente con la de las infecciones de spyware novios anteriores reportadas a mediados de diciembre de 2024.
A principios de esta semana, Cellebrite dijo que sus herramientas no están diseñadas para facilitar ningún tipo de actividad cibernética ofensiva y que funciona activamente para reducir el mal uso de su tecnología.
La compañía israelí también dijo que ya no permitirá a Serbia usar su software, indicando que «nos pareció apropiado detener el uso de nuestros productos por parte de los clientes relevantes en este momento».
