Amnesty International опубликовала отчёт о случае, когда смартфон 23-летнего сербского активиста был взломан с помощью эксплойта нулевого дня, разработанного компанией Cellebrite. Правозащитники утверждают, что цепочка эксплойтов была нацелена на USB-драйверы Android и позволила обойти экран блокировки устройства.
По данным организации, «Android-смартфон одного из студентов-протестующих был взломан и разблокирован с помощью сложной цепочки эксплойтов нулевого дня, атакующей USB-драйверы Android, разработанной Cellebrite». Следы того же инструмента были обнаружены в другом деле ещё в середине 2024 года.
Три уязвимости в ядре Linux
В основе атаки лежит уязвимость CVE-2024-53104 (оценка CVSS 7.8) — повышение привилегий в компоненте ядра, который отвечает за поддержку USB Video Class (UVC), то есть USB-камер и видеоустройств. Патч для ядра Linux вышел в декабре 2024 года, а в Android соответствующее исправление появилось только в феврале 2025-го.
Предполагается, что эта уязвимость применялась в связке ещё с двумя недостатками, которые уже устранены в ядре Linux, но пока не попали ни в один Android Security Bulletin:
- CVE-2024-53197 — уязвимость выхода за границы буфера, затрагивающая устройства Extigy и Mbox (оценка CVSS не присвоена).
- CVE-2024-50302 — использование неинициализированного ресурса (CVSS 5.5), позволяющее утечку данных из памяти ядра.
«Эксплойт, нацеленный на USB-драйверы ядра Linux, позволял клиентам Cellebrite с физическим доступом к заблокированному Android-устройству обойти экран блокировки и получить привилегированный доступ к телефону», — говорится в отчёте Amnesty. Организация подчёркивает, что случай наглядно показывает, как реальные атакующие используют широкую поверхность атаки через USB, пользуясь множеством устаревших USB-драйверов, которые до сих пор поддерживаются в ядре Linux.
Что произошло с активистом
Активиста, которому для защиты личности присвоили псевдоним «Вэдран», доставили в полицейский участок и изъяли его телефон 25 декабря 2024 года — после того как он принял участие в студенческом протесте в Белграде. Анализ Amnesty показал, что эксплойт применили для разблокировки его Samsung Galaxy A32, а сотрудники правоохранительных органов попытались установить на устройство неизвестное Android-приложение.
Точное назначение этого приложения установить не удалось, но по модели поведения оно похоже на шпионское ПО NoviSpy, о заражениях которым сообщалось ещё в середине декабря 2024 года.
Реакция Cellebrite
Ранее на той же неделе Cellebrite заявила, что её инструменты не предназначены для наступательных кибератак и компания активно работает над тем, чтобы ограничить злоупотребление своими продуктами. Израильская компания также сообщила, что больше не будет предоставлять доступ к своему ПО Сербии, отметив: «Мы сочли уместным прекратить использование наших продуктов соответствующими клиентами на данный момент».
Источник: The Hacker News.