Incidentes Asociados
El Laboratorio de Seguridad de Amnistía Internacional, en colaboración con la Oficina Regional Europea de Amnistía, ha descubierto un nuevo caso de uso indebido de un producto Cellebrite para acceder al teléfono de un joven activista en Serbia. El ataque coincide estrechamente con la forma de ataque que documentamos previamente en un informe, 'Una prisión digital', publicado en diciembre de 2024. Este nuevo caso proporciona más pruebas de que las autoridades de Serbia han continuado su campaña de vigilancia de la sociedad civil a raíz de nuestro informe, a pesar de los llamados generalizados a la reforma, tanto desde dentro de Serbia como más allá, así como una investigación sobre el uso indebido de su producto, anunciado por Cellebrite.
Aunque no está documentado en esta entrada del blog, Amnistía Internacional también ha encontrado pruebas de al menos dos casos más de uso indebido de Cellebrite contra la sociedad civil (además de los mencionados en el informe), lo que sugiere que la práctica sigue estando muy extendida y que la Agencia de Información y Seguridad de Serbia (Bezbedonosno-informativna agencija - BIA) y los servicios de seguridad serbios siguen confiando en que pueden seguir utilizando estas tácticas represivas con impunidad.
En una declaración publicada el 25 de febrero de 2025, Cellebrite anunció que había suspendido el uso de sus productos por parte de "clientes relevantes" en Serbia tras el informe de Amnistía Internacional de diciembre de 2024, que documentó un uso indebido generalizado de la tecnología de Cellebrite por parte de las autoridades serbias. Los últimos hallazgos de nuevos abusos hacen que estas suspensiones sean un primer paso necesario y crucial para detener el uso indebido continuo e ilegal de los productos de la empresa.
Se identifica en la red un exploit de día cero que ataca a los controladores USB del núcleo de Android
Esta publicación técnica del blog proporciona un análisis detallado de cómo el teléfono Android de un estudiante manifestante fue explotado y desbloqueado por una sofisticada cadena de exploits de día cero que atacaba a los controladores USB de Android, desarrollada por Cellebrite. Amnistía Internacional encontró por primera vez rastros de este exploit USB de Cellebrite utilizado en un caso separado a mediados de 2024.
Estos hallazgos más recientes muestran los daños continuos del uso indebido continuo de las herramientas avanzadas de extracción de teléfonos móviles de Cellebrite, incluso después de que se publicaran ampliamente las pruebas de abusos. Dado que los exploits identificados en esta investigación atacan a los controladores USB del núcleo del núcleo de Linux, la vulnerabilidad no se limita a un dispositivo o proveedor en particular y podría afectar a más de mil millones de dispositivos Android.
En 2024, el Security Lab compartió evidencia técnica sobre esta cadena de exploits de día cero con socios de la industria, incluido el Grupo de análisis de amenazas de Google. Estas pistas permitieron a los investigadores de seguridad de Google identificar al menos tres vulnerabilidades de día cero probablemente explotadas como parte de esta cadena de exploits de Cellebrite. La primera vulnerabilidad, CVE-2024-53104, una escritura fuera de límites en el controlador de clase de video USB (UVC), fue corregida en el Boletín de seguridad de Android de febrero de 2025.
Las vulnerabilidades adicionales CVE-2024-53197 y CVE-2024-50302 han sido corregidas en el kernel de Linux, pero aún no se han incluido en un Boletín de seguridad de Android. En la Sección 3 a continuación, se comparte un análisis técnico inicial del exploit y las vulnerabilidades.
Amnistía Internacional desea agradecer al activista estudiantil que fue objeto de esta campaña por compartir su historia y a todos los socios que apoyaron esta investigación, incluida la Red de Investigación e Información de los Balcanes (BIRN) y la Fundación SHARE en Belgrado.
Amnistía Internacional agradece especialmente a Benoît Sevens, del Grupo de Análisis de Amenazas de Google, por su inestimable contribución a esta investigación y por su trabajo para identificar las vulnerabilidades USB subyacentes explotadas en este ataque. El Laboratorio de Seguridad también agradece al equipo de Seguridad y Privacidad de Android por su participación activa para abordar los riesgos de seguridad digital que afectan a la sociedad civil.