Un’inaspettata fuga di notizie ha portato alla luce informazioni riservate sulle capacità e i limiti delle tecnologie di sblocco degli smartphone utilizzate dalle forze dell’ordine in tutto il mondo.
I documenti confidenziali, provenienti dall’azienda israeliana di intelligence digitale e mobile forensics Cellebrite e recentemente ottenuti e verificati da 404 Media, offrono uno sguardo raro sullo stato dell’arte in questo delicato settore tradizionalmente avvolto nel riserbo.
Indice degli argomenti
Luci e ombre sulle capacità di sblocco degli smartphone
I file trapelati, infatti, gettano nuova luce sulle effettive capacità di Cellebrite e sulle potenzialità e i limiti degli strumenti dell’azienda nel penetrare i sistemi di sicurezza di smartphone iOS e Android.
Il dato più eclatante che emerge dall’analisi riguarda l’incapacità di Cellebrite di sbloccare una parte significativa degli iPhone di ultima generazione.
In particolare, nei documenti rinominati “Cellebrite iOS Support Matrix” e “Cellebrite Android Support Matrix”, sono presenti alcune tabelle di supporto per iOS e Android, datate aprile 2024, che dettagliano con precisione quali modelli di smartphone e versioni dei sistemi operativi possono essere violati dagli strumenti Cellebrite, evidenziando al contempo le lacune nelle capacità dell’azienda di fronte ai dispositivi di ultima generazione.
È interessante notare, a tal proposito, come i documenti contenuti nel leak di Cellebrite menzionino esplicitamente GrapheneOS, un sistema operativo basato su Android focalizzato su privacy e sicurezza. Un dettaglio, questo, che potrebbe indicare una crescente adozione di soluzioni alternative da parte di utenti particolarmente attenti alla propria riservatezza digitale.
In realtà, come sottolinea l’esperto informatico forense Paolo Dal Checco, sentito da Cybersecurity360, “i documenti riportati nell’inchiesta di 404 Media e citati anche nel profilo Mastodon di GrapheneOS, sono gli stessi presenti sul portale Cellebrite Customer Community, dove gli acquirenti hanno accesso a documentazione, manualistica e tabelle di compatibilità relative ai prodotti e alle licenze acquistate”.
Dunque, come osserva ancora Dal Checco, e come riportato anche nell’articolo di 404 Media, “è verosimile che qualche utente li abbia scaricati dalla propria pagina di profilo e inviati alla media company. I file vengono forniti, ai clienti, tramite link temporanei; quindi, non pare possa essere stato divulgato il link ma possa invece essere stato fornito il documento stesso, cosa che riduce da parte di Cellebrite la possibilità di tracciare chi può aver divulgato o scaricato i file”.
Solo gli iPhone più vecchi possono essere sbloccati
Il quadro che emerge per quanto riguarda gli iPhone è particolarmente interessante.
Secondo quanto riportato nel documento “Cellebrite iOS Support Matrix”, gi strumenti di analisi forense della nota società non sono in grado di sbloccare alcun iPhone con iOS 17.4 o versioni successive, classificandoli come “In Research”.
Per le versioni iOS da 17.1 a 17.3.1, l’azienda poteva sbloccare l’iPhone XR e la serie iPhone 11 utilizzando la capacità “Supersonic BF” (brute force). Tuttavia, per i modelli iPhone 12 e successivi con queste versioni di iOS il documento di Cellebrite riporta la dicitura “Coming soon”.
Dunque, l’analisi dei documenti trapelati ha messo in luce una limitazione significativa: Cellebrite poteva sbloccare solo iPhone rilasciati quasi cinque anni fa con la penultima versione di iOS. Considerando che, secondo i dati Apple di giugno 2024, il 77% di tutti gli iPhone e l’87% degli iPhone introdotti negli ultimi quattro anni eseguivano iOS 17, una vasta porzione di dispositivi risulta potenzialmente inaccessibile agli strumenti di Cellebrite.
In particolare, l’intera gamma iPhone 15, indipendentemente dalla versione di iOS, non risulta essere violabile mediante l’utilizzo di questi strumenti di analisi forense.
Fonte: 404 Media.
Situazione analoga per gli smartphone Android
Sul fronte Android, l’analisi del documento “Cellebrite Android Support Matrix” ha svelato un panorama più variegato.
Sebbene Cellebrite vanti una copertura più ampia, persistono lacune significative. Ad esempio, i documenti rivelano l’impossibilità di forzare l’accesso ai Google Pixel 6, 7 e 8 spenti, nonostante questi dispositivi montino versioni di Android antecedenti all’ultima release.
Fonte: 404 Media.
I dettagli del leak di documenti di Cellebrite
I documenti citati nell’articolo, puntualizza ancora Paolo Dal Checco, “contengono informazioni utili per Forze dell’Ordine, aziende di eDiscovery o consulenti informatici forensi che erogano – avvalendosi dei software UFED4PC, Premium, Inseyets e Mobile Ultra – servizi di cristallizzazione di prove digitali mediante acquisizione forense di smartphone, dei quali talvolta è necessario lo sblocco se protetti da PIN o password”.
“Da una breve analisi comparativa tra le Support Matrix originali disponibili legittimamente per i clienti e quelle pubblicate dal sito 404 Media”, continua ancora l’analista forense, “emerge che i documenti – per quanto abbiano gli stessi contenuti grafici e testuali – siano diversi, nel senso che quelli pubblicati hanno una dimensione maggiore e contengono dei metadati non corrispondenti a quelli originali. Probabilmente chi ha fornito le matrici di supporto alla testata giornalistica le ha ricodificate modificandone anche i dati EXIF, per ridurre il rischio di essere tracciato”.
“Tramite una piccola analisi forense sui PDF oggetto di leak”, aggiunge Dal Checco, “risulta che questi siano stati creati nel pomeriggio del 17 luglio 2024 tramite un computer Mac con OS Ventura, più in dettaglio un ‘macOS Version 13.2 (Build 22D49)’: presumibilmente chi li ha diffusi ha stampato in PDF i documenti originali avvalendosi di un computer Apple con OS Ventura. I metadati dei documenti originali – che non riporteremo, per rispetto – riportano invece i dettagli del responsabile creativo Cellebrite che li ha prodotti nella seconda metà di aprile 2024”.
Gli impatti di questa fuga di notizie
Le rivelazioni sulle capacità tecniche degli strumenti di analisi forense di Cellebrite giungono in un momento particolarmente delicato, all’indomani dell’annuncio dell’FBI di essere riuscita ad accedere al telefono utilizzato da Thomas Matthew Crooks, sospettato del tentato assassinio dell’ex presidente degli Stati Uniti d’America, Donald Trump.
L’FBI, ovviamente, non ha fornito dettagli né sul modello del dispositivo, né sulle tecniche impiegate per sbloccarlo, alimentando speculazioni sul possibile coinvolgimento di aziende come Cellebrite o suoi competitor.
Dunque, questa fuga di notizie si inserisce in un contesto più ampio, che vede un continuo braccio di ferro tra produttori di hardware e software da un lato e aziende specializzate in hacking dall’altro.
La rapidità con cui evolvono sia le misure di sicurezza che le tecniche per aggirarle rende il panorama estremamente fluido e in costante mutamento.
Come riportato da 404 Media, Victor Ryan Cooper, senior director of communications di Cellebrite, ha confermato l’autenticità dei documenti, sottolineando come questi siano pensati per informare i clienti sulle effettive capacità dei loro strumenti nell’ambito di indagini legalmente autorizzate.
L’azienda ha, inoltre, ribadito il proprio impegno etico, affermando di non vendere i propri prodotti a paesi soggetti a sanzioni internazionali o presenti nella blacklist del FATF (Financial Action Task Force).
Le indagini non sono a rischio
C’è, però, un altro aspetto da tenere in considerazione per valutare correttamente l’impatto della fuga di notizie, come giustamente sottolinea Paolo Dal Checco: “La società Cellebrite mantiene riservati tali documenti e li condivide soltanto con i propri clienti: questo non significa che una divulgazione del materiale come quella che è avvenuta possa mettere a rischio le indagini o fornire informazioni strategiche altrimenti non disponibili”.
Si consideri, ad esempio, “che chiunque può sottoporre il quesito della compatibilità di uno specifico dispositivo contattando in qualità di cliente le società che si occupano di perizie informatiche forensi e sottoponendo il quesito di fattibilità di uno sblocco o di una acquisizione FFS, la più completa disponibile su diversi dispositivi”, aggiunge ancora Dal Checco, secondo cui “va comunque considerato che successivamente alla produzione di tali PDF, la società Cellebrite ne ha pubblicati di ulteriori e più aggiornati: quelli di aprile, fuoriusciti e divulgati da terzi, stanno quindi già diventando, lentamente, obsoleti”.
Conclusioni
Alla luce di quanto visto finora, è comunque importante notare che le capacità di Cellebrite sono in continua evoluzione e le limitazioni agli smartphone iOS e Android riflettono lo stato della loro tecnologia ad aprile 2024.
La corsa tra le misure di sicurezza implementate dai produttori di smartphone e le tecniche di accesso forzato continua, sollevando importanti questioni sul delicato equilibrio tra sicurezza personale e necessità investigative: da un lato, la necessità di strumenti efficaci per contrastare attività criminali; dall’altro, l’imperativo di tutelare la privacy degli utenti e l’integrità dei sistemi di sicurezza.
Un delicato equilibrio che continuerà, senza dubbio, a essere oggetto di dibattito e analisi nel prossimo futuro.
