Studiuesit zbulojnë cenueshmëri të panjohura në Android të përdorura për të hakuar telefonin e një studenti

Amnesty International tha se Google rregulloi të metat e panjohura më parë në Android që lejuan autoritetet të zhbllokojnë telefonat duke përdorur mjete mjekoligjore.

Të premten, Amnesty International publikoi një raport që detajonte një zinxhir prej tre dobësish të ditës zero të zhvilluara nga kompania Cellebrite për zhbllokimin e telefonit, të cilat studiuesit e saj i gjetën pasi hetuan hakimin e telefonit të një studenti protestues në Serbi. Të metat u gjetën në bërthamën USB të Linux-it, që do të thotë se “vulnerabiliteti nuk është i kufizuar në një pajisje ose shitës të veçantë dhe mund të ndikojë mbi një miliard pajisje Android”, sipas raportit.

Ditët zero janë gabime në produkte që kur gjenden janë të panjohura për prodhuesit e softuerit ose harduerit. Zero-days lejojnë hakerat kriminalë dhe qeveritarë të depërtojnë në sisteme në një mënyrë që është më efektive, sepse nuk ka ende asnjë patch që i rregullon ato.

Në këtë rast, Amnesty tha se fillimisht gjeti gjurmë të një prej defekteve në një rast në mesin e vitit 2024. Më pas, vitin e kaluar, pas hetimit të hakimit të një aktivisti studentor në Serbi, organizata ndau gjetjet e saj me njësinë kundër hakerave të Google, Threat Analysis Group, e cila i bëri studiuesit e kompanisë të identifikonin dhe rregullonin tre të metat e veçanta.

Gjatë hetimit për telefonin e aktivistit, studiuesit e Amnesty-së gjetën shfrytëzimin USB, i cili u lejoi autoriteteve serbe, me përdorimin e mjeteve Cellebrite, të zhbllokonin telefonin e aktivistit.

Kur u arrit për koment, zëdhënësi i Cellebrite Victor Cooper iu referua një deklarate që kompania publikoi në fillim të kësaj jave.

Në dhjetor, Amnesty raportoi se kishte gjetur dy raste kur autoritetet serbe kishin përdorur mjete mjekoligjore Cellebrite për të zhbllokuar telefonat e një aktivisti dhe një gazetari dhe më pas instaluan një softuer spiun Android të njohur si NoviSpy. Në fillim të kësaj jave, Cellebrite njoftoi se kishte ndaluar klientin e saj serb të përdorte teknologjinë e saj pas akuzave për abuzim të zbuluara nga Amnesty.

“Pas një shqyrtimi të pretendimeve të paraqitura nga raporti i Amnesty International në dhjetor 2024, Cellebrite ndërmori hapa të saktë për të hetuar çdo pretendim në përputhje me politikat tona të etikës dhe integritetit. Ne e pamë të përshtatshme që të ndalojmë përdorimin e produkteve tona nga klientët përkatës në këtë moment,” shkroi Cellebrite në deklaratën e saj.

Në raportin e ri, Amnesty tha se ishte kontaktuar në janar për të analizuar pajisjen e një aktivisti të ri të arrestuar nga Agjencia Serbe e Informacionit të Sigurisë (Bezbednosno-informativna agencija ose BIA) në fund të vitit të kaluar.

“Rrethanat e arrestimit të tij dhe sjellja e oficerëve të BIA-s, përputheshin fort me modus operandi që u përdor kundër protestuesve dhe që ne e dokumentuam në raportin tonë në dhjetor. Një hetim mjeko-ligjor i pajisjes i kryer në janar konfirmoi përdorimin e Cellebrite në telefonin e aktivistes studentore”, shkruan Amnesty.

Ashtu si në rastet e tjera, autoritetet përdorën një pajisje Cellebrite për të zhbllokuar telefonin Samsung A32 të aktivistit “pa dijeninë ose pëlqimin e tij dhe jashtë një hetimi të sanksionuar ligjërisht”, sipas Amnesty.

“Përdorimi në dukje rutinë i softuerit Cellebrite kundër njerëzve për ushtrimin e të drejtave të tyre për lirinë e shprehjes dhe tubimin paqësor nuk mund të jetë kurrë një qëllim legjitim,” shkroi Amnesty, “dhe për këtë arsye është në kundërshtim me ligjin për të drejtat e njeriut”.

Bill Marczak, një studiues i lartë në Citizen Lab, një organizatë për të drejtat dixhitale që heton spyware, shkroi në X se aktivistët, gazetarët dhe anëtarët e shoqërisë civile “të cilëve mund t’u sekuestrohet telefoni nga autoritetet (protesta, kufiri, etj.) duhet të konsiderojnë kalimin në iPhone”, për shkak të këtyre dobësive.

Duke iu referuar veglave të Cellebrite, Donncha Ó Cearbhaill, kreu i Laboratorit të Sigurisë së Amnesty, i tha TechCrunch se “disponueshmëria e gjerë e mjeteve të tilla më lë të frikësoj se ne thjesht po gërvishtim sipërfaqen e dëmeve nga këto produkte”.