I giornalisti e gli attivisti per i diritti umani non corrono il rischio che i loro telefoni vengano violati durante l'utilizzo di Signal, nonostante la società di intelligence israeliana Cellebrite affermi di poter crackare l'app, ha appreso Middle East Eye.
Signal è un'app di messaggistica end-to-end crittografata rilasciata nel 2010 da Moxie Marlinspike, un imprenditore e crittografo americano che ha lavorato per Google, Facebook e WhatsApp tra il 2012 e il 2016 e ha implementato il codice Signal nei loro servizi.
L'app è diventata uno strumento fondamentale per giornalisti e attivisti per i diritti umani, che comunemente la usano per contattare fonti credendo che il servizio di messaggistica sia sicuro. In tutto il Medio Oriente e altrove, i governi hanno utilizzato la tecnologia, spesso sviluppata in Israele, per hackerare i telefoni tramite app di messaggistica.
'Signal garantisce la sicurezza durante la comunicazione attraverso la crittografia end-to-end, ma la sicurezza dei dati sul telefono si basa sulla sicurezza del sistema stesso'
- Etienne Maynier, Amnesty International
Mentre Facebook, WhatsApp e Skype utilizzano il codice Signal per crittografare i messaggi dei propri utenti, l'app di Signal è nota per la sua forte crittografia, che aggiunge un ulteriore livello alla sua messaggistica end-to-end, crittografando i file e gli allegati inviati dagli utenti, rendendo è al sicuro da software di terze parti.
La scorsa settimana, tuttavia, Cellebrite , una società israeliana di proprietà di Sun Cooperation e che opera sul mercato delle borse valori del Giappone, ha scritto in un post sul blog che il suo prodotto Universal Forensic Extraction Device (UFED) può accedere, sollevare e analizzare i dati dei telefoni cellulari utilizzando l'app .
Cellbrite ha affermato di aver sviluppato l'analizzatore fisico per accedere ai dati su Signal, il che avrebbe aiutato i suoi utenti a "scoprire prove digitali e creare mostre pronte per il tribunale".
Il post è stato successivamente cancellato e gli esperti di tecnologia si sono affrettati a respingere le affermazioni dell'azienda.
Etienne Maynier, un ricercatore di sicurezza presso Amnesty International, ha detto a MEE che la tecnologia di Cellebrite non è "rivoluzionaria".
Affinché Cellebrite possa accedere ai dati ed eseguire un'analisi forense, ha bisogno dell'accesso completo al telefono, sia tramite un passcode, touch ID o riconoscimento facciale.
Ciò potrebbe essere ottenuto con due metodi: legalmente, chiedendo all'utente di fornire il passcode da parte delle forze dell'ordine, o con un approccio tecnico, che sfrutti i problemi di sicurezza vulnerabili nel sistema del dispositivo.
"Una volta che lo strumento [dell'UFED di Cellebrite] ha pieno accesso ai dati del telefono, non c'è nulla che gli impedisca tecnicamente di accedere ai dati del segnale ... Cellebrite non contiene nulla di rivoluzionario oltre a spiegare tecnicamente come leggere questi dati con pieno accesso al telefono", Maynier ha detto.
Maynier ha aggiunto che chiunque abbia accesso al dispositivo telefonico "sbloccato" avrà successivamente accesso ai dati di Signal e possibilmente ad altre applicazioni sul telefono.
"Signal garantisce la sicurezza durante la comunicazione attraverso la crittografia end-to-end, ma la sicurezza dei dati sul telefono si basa sulla sicurezza del sistema stesso", ha detto Etienne.
Dopo che sono circolate notizie secondo cui le "tecnologie avanzate" di Cellebrite potrebbero rompere il codice Signal sui dispositivi telefonici sbloccati, Marlinspike, il creatore di Signal, ha twittato venerdì: "Avrebbero potuto anche aprire l'app per guardare i messaggi".
Due diligence sui diritti umani
Fondata nel 1999, la tecnologia di Cellebrite è utilizzata in 154 paesi, e la società afferma che "ha reso possibili condanne in più di cinque milioni di casi di reati gravi, come omicidio, stupro, traffico di esseri umani e pedofilia".
L'UFED di Cellebrite è un dispositivo, di forma simile a un tablet, collegato a un telefono per accedere ai dati. È già utilizzato dalle forze di polizia americane e dall'FBI.
La scorsa settimana, otto scuole pubbliche americane hanno acquistato "strumenti forensi per dispositivi mobili" da Cellebrite per accedere ai dati sui telefoni dei loro studenti, secondo Apple Insider .
Il suo prodotto di punta UEFD può estrarre messaggi SMS, registri delle chiamate, cronologie di navigazione in Internet e dati cancellati dai telefoni.
Nel gennaio 2017 , i dati rubati da Cellebrite sono stati venduti a Turchia, Arabia Saudita ed Emirati Arabi Uniti, paesi noti per l'incarcerazione di giornalisti e attivisti.
Ha anche venduto i suoi prodotti a paesi repressivi come Venezuela, Bielorussia e Indonesia. A ottobre ha cessato di vendere tecnologie di intelligence alla Cina e all'amministrazione di Hong Kong a seguito delle critiche internazionali.
"Cellebrite come azienda deve adottare un'adeguata due diligence sui diritti umani per assicurarsi che i suoi prodotti non vengano utilizzati per violare i diritti umani", ha detto Amnesty's Maynier.
Middle East Eye ha chiesto a Cellebrite un commento e perché ha cancellato il suo post vantando che la sua tecnologia potrebbe hackerare Signal.
Diverse società israeliane, i cui fondatori e dipendenti provengono dall'industria dell'intelligence e della difesa, hanno sviluppato tecnologie per hackerare e spiare i telefoni cellulari.
Più famoso, la più grande società di sorveglianza israeliana NSO Group ha venduto il suo spyware Pegasus a diversi governi arabi repressivi, tra cui Arabia Saudita, Emirati Arabi Uniti e Marocco, che l'hanno usato per spiare giornalisti e attivisti.
Su Martedì , segnale lanciato crittografato chiamate riunione del gruppo di video, nella speranza di sostituire Zoom, che è stato ampiamente utilizzato per il lavoro a distanza e aveva diverse insidie di sicurezza durante la pandemia.
