アムネスティ・インターナショナルのセキュリティ研究所は、アムネスティの欧州地域事務所と協力し、セルビアの若手活動家の携帯電話に侵入するためにセレブライトの製品が悪用された新たな事例を発見した。この攻撃は、2024年12月に公開された報告書「デジタル刑務所」で以前に記録した攻撃の形態とよく一致しています。この新しいケースは、私たちの報告書の余波で、セルビア国内と国外の両方からの広範な改革の呼びかけや、不正使用の調査にもかかわらず、セルビア当局が市民社会の監視キャンペーンを継続していることをさらに証明しています。 Cellebrite 社が発表した同社の製品の販売停止。
このブログ記事には記載されていないが、アムネスティ・インターナショナルは、報告書に記載されたもの以外にも、市民社会に対する Cellebrite 社の不正使用の少なくとも 2 件の証拠を発見した。これは、この慣行が依然として広く行われており、セルビアの安全保障情報局 (BIA) とセルビアの治安機関が、このような抑圧的な戦術を罰されることなく使い続けられると確信していることを示唆している。
2025年2月25日に発表された声明において、[Cellebrite]は、セルビア当局によるCellebriteの技術の広範な悪用を記録したアムネスティ・インターナショナルの2024年12月の報告書を受けて、セルビアの「関連顧客」による自社製品の使用を一時停止したことを発表しました。さらなる悪用に関する最新の調査結果により、これらの一時停止は、同社製品の継続的かつ違法な悪用を阻止するための必要かつ重要な第一歩となります。
Android USB カーネル ドライバーを標的としたゼロデイ エクスプロイトが実際に確認されました
この技術ブログ投稿では、ある学生抗議者の Android スマートフォンが Cellebrite によって開発された Android USB ドライバーを標的とした高度なゼロデイ エクスプロイト チェーンによって悪用され、ロック解除された経緯を詳細に分析しています。アムネスティ インターナショナルは、2024 年半ばに別のケースで使用されたこの Cellebrite USB エクスプロイトの痕跡を初めて発見しました。
これらの最新の調査結果は、悪用の証拠が広く公開された後も Cellebrite の高度な携帯電話抽出ツールが引き続き悪用されていることによる被害が続いていることを示しています。この調査で特定されたエクスプロイトはコア Linux カーネル USB ドライバーを標的としているため、脆弱性は特定のデバイスやベンダーに限定されず、10 億を超える Android デバイスに影響を与える可能性があります。
2024 年、セキュリティ ラボは、このゼロデイ エクスプロイト チェーンに関する技術的証拠を、Google の脅威分析グループを含む業界パートナーと共有しました。これらのリードにより、Google のセキュリティ研究者は、この Cellebrite エクスプロイト チェーンの一部として悪用された可能性のある少なくとも 3 つのゼロデイ脆弱性を特定することができました。最初の脆弱性である CVE-2024-53104 は、USB ビデオ クラス (UVC) ドライバーの境界外書き込みであり、2025 年 2 月の Android セキュリティ公開情報 で修正されました。
追加の脆弱性である CVE-2024-53197 および CVE-2024-50302 は、Linux カーネルのアップストリームで修正されていますが、Android セキュリティ公開情報にはまだ含まれていません。エクスプロイトと脆弱性の初期技術分析は、以下のセクション 3 で共有されています。
アムネスティ・インターナショナルは、このキャンペーンの標的となった学生活動家が自身の体験談を共有してくれたこと、およびベオグラード�のバルカン調査報道ネットワーク(BIRN)やSHARE Foundationを含むこの調査を支援してくれたすべてのパートナーに感謝の意を表します。
アムネスティ・インターナショナルは、この調査に多大な貢献をし、この攻撃で悪用された根本的なUSBの脆弱性を特定したGoogleの脅威分析グループのBenoît Sevens氏に特に感謝の意を表します。セキュリティラボは、市民社会に影響を与えるデジタルセキュリティリスクへの取り組みに積極的に取り組んでいるAndroidセキュリティおよびプライバシーチームにも感謝の意を表します。