Cellebrite因设备被用于政治目的而阻止塞尔维亚使用其解决方案

2024年12月，国际特赦组织（Amnesty International）发布的一份报告记录了塞尔维亚警方使用Cellebrite的取证工具解锁当地一名记者和一名活动人士的手机并安装间谍软件的行为。警方使用了一种名为NoviSpy的新型Android间谍软件，该软件使塞尔维亚当局能够通过捕获个人数据并远程激活麦克风或摄像头来监视目标。

NoviSpy的技术水平不如NSO集团的Pegasus等间谍软件先进。国际特赦组织发现了将Cellebrite工具与NoviSpy感染联系起来的法医证据，揭示了塞尔维亚警方在警方问讯期间使用Cellebrite UFED漏洞绕过Android安全机制，秘密在活动人士的手机上安装间谍软件。该恶意软件通过Android调试桥（adb）命令行工具部署。

国际特赦组织报告称：“塞尔维亚警方和情报部门正在使用先进的手机间谍软件和手机取证产品，非法针对记者、环保活动人士和其他个人进行秘密监视活动。”报告指出：“塞尔维亚警方和安全信息局（Bezbedonosno-informativna Agencija，BIA）使用了一种定制的Android间谍软件系统NoviSpy，在拘留或警方问讯期间秘密感染个人设备。”

目前，以色列公司Cellebrite宣布，由于当地警方滥用其技术的报道，已暂停向塞尔维亚提供技术。Cellebrite在声明中表示：“在审查了2024年12月国际特赦组织报告中的指控后，Cellebrite根据我们的道德和诚信政策采取了精确措施调查每项指控。我们认为目前停止相关客户使用我们的产品是适当的。”声明还提到：“我们定期评估与我们开展业务的国家，考虑政治和文化变化。我们跟踪各国并审查从民主化到人权再到法治的多项指标。我们强大的合规和道德计划旨在确保全球民主国家以道德和合法的方式使用我们的技术，这对我们加速正义、保护社区和帮助拯救生命的使命至关重要。”

国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示：“这一决定强化了国际特赦组织12月的调查结果，即塞尔维亚警方和情报部门经常在法律授权程序之外滥用Cellebrite的数字取证设备，针对批评政府的民间社会活动人士和独立记者。”他还强调：“撤销因政治原因滥用设备的客户的许可证是关键的第一步。现在，塞尔维亚当局必须紧急进行彻底和公正的调查，追究责任人的责任，为受害者提供补救措施，并建立足够的保障措施以防止未来的滥用。”他补充道：“在塞尔维亚当局建立有效和独立的控制和监督系统，确保任何可能限制人们隐私权、言论自由或和平集会权利的措施得到妥善管理之前，必须停止向塞尔维亚出口任何监视或数字取证技术。”

国际特赦组织分析的设备中的NoviSpy间谍软件样本由塞尔维亚的C2服务器控制。专家还发现，一个间谍软件配置与塞尔维亚情报机构BIA的IP范围相关联，并与一名曾参与间谍软件采购的BIA员工有关。包括在BIA问讯期间安装间谍软件在内的证据，高度可信地将这些监视活动归因于BIA和塞尔维亚政府。

2024年2月，塞尔维亚记者Slaviša Milanov在一次例行交通检查后被传唤到警察局。警方释放他后，Milanov注意到手机设置发生了可疑变化，例如数据和Wi-Fi被禁用。随后，他担心自己像其他塞尔维亚记者一样成为监视软件的目标，向国际特赦组织安全实验室寻求帮助。

国际特赦组织在调查Milanov手机案件时发现了两个令人不安的事实。首先，法医痕迹显示，塞尔维亚警方使用Cellebrite工具解锁并提取了他设备中的数据，但未告知他、未获得法律同意，也未披露搜查目的。其次，分析揭示了一种以前未被检测到的间谍软件“NoviSpy”，该软件可以提取个人数据、激活设备的麦克风或摄像头，并在警方持有其手机期间安装。间谍软件的部署依赖于Cellebrite的解锁过程，结合了两种侵入性技术，全面侵犯了记者的数字隐私。

NoviSpy通过Android调试桥（adb）命令行工具部署。国际特赦组织分析的设备中的NoviSpy间谍软件样本由塞尔维亚的C2服务器控制。专家还发现，一个间谍软件配置与塞尔维亚情报机构BIA的IP范围相关联，并与一名曾参与间谍软件采购的BIA员工有关。包括在BIA问讯期间安装间谍软件在内的证据，高度可信地将这些监视活动归因于BIA和塞尔维亚政府。

塞尔维亚当局还广泛且非法地使用Cellebrite提取套件从记者和抗议组织者的手机中下载个人数据。国际特赦组织的报告指出：“在至少两起记录的案件中，Cellebrite UFED产品及相关漏洞被用于秘密绕过手机安全功能，使塞尔维亚当局能够用NoviSpy间谍软件感染设备。这些秘密感染发生在警方或BIA问讯期间，只有通过Cellebrite UFED等先进技术绕过设备加密的能力才能实现。”报告还提到：“尽管活动人士长期以来一直对警方问讯期间发生的间谍软件感染表示担忧，但国际特赦组织认为，这份报告首次通过法医证据记录了由Cellebrite移动取证技术促成的间谍软件感染。”

国际特赦组织安全实验室还发现，提取工具Cellebrite UFED利用了高通多芯片组Use-After-Free零日漏洞CVE-2024-43047，该漏洞由谷歌于2024年11月修补。国际特赦组织和谷歌的联合努力通过分析塞尔维亚警方拘留的一名抗议组织者手机上的法医日志，识别了这一漏洞。

NoviSpy间谍软件活动的其他目标包括活动人士Nikola Ristić、环保活动人士Ivan Milosavljević Buki，以及来自贝尔格莱德非政府组织Krokodil的一名未具名活动人士。

塞尔维亚警方称国际特赦组织的报告“绝对不正确”。美联社报道称：“塞尔维亚警方在一份声明中表示，国际特赦组织的报告‘绝对不正确’，但同时也补充说，‘世界各地的其他警察部队也以同样的方式使用取证工具。’”

报告总结道：“塞尔维亚必须承诺立即停止使用高度侵入性的间谍软件，并对所有记录和报告的非法律数字监视案件进行迅速、独立和公正的调查。还必须采取具体措施，确保数字技术不被滥用以侵犯人权，包括建立并严格执行法律框架，提供有意义的程序保障，通过司法审查建立有效的控制和监督系统，并为受害者提供有效的补救机制。”

原文始发于微信公众号（黑猫安全）：Cellebrite因设备被用于政治目的而阻止塞尔维亚使用其解决方案