攻击链揭露：间谍软件利用零日漏洞攻破安卓手机锁屏

近日，国际特赦组织与谷歌的威胁分析小组联合揭露了一个复杂的网络间谍事件，塞尔维亚当局利用由以色列数字情报公司Cellebrite提供的零日漏洞攻击安卓设备。该事件涉及通过物理接触目标设备，绕过锁屏保护并提取敏感数据，揭示了数字取证工具在政府监控中的滥用，以及安卓系统在防范物理访问攻击方面的严重漏洞。

该事件的主角Cellebrite是一家提供数字取证和情报收集服务的公司，长期为执法机构和政府提供工具，其中包括一些未公开的零日漏洞。这些漏洞能够帮助客户对特定个人进行精准的间谍攻击。

2024年12月25日，塞尔维亚当局在监控和打压抗议活动中，利用Cellebrite提供的漏洞链及其专门的间谍软件攻击了多名目标人物。此次攻击利用了安卓设备上的零日漏洞，尤其是影响Linux内核USB驱动的漏洞，使得攻击者能够绕过安卓系统的锁屏功能，获得设备的完全访问权限。

根据调查，Cellebrite使用了一种复杂的USB设备仿真方法，通过反复连接不同的外设，触发Linux内核中的内存溢出漏洞。此漏洞能够导致内核内存泄漏并被篡改，从而获取root权限。具体来说，攻击者通过利用多个USB外设，包括摄像头、声卡和触摸板，成功地执行了恶意代码，绕过了锁屏保护。

这些漏洞的组合为攻击者提供了一个强有力的攻击链，使其能够突破安卓设备的锁屏保护，获取设备的root权限，从而对设备进行进一步的监控和数据窃取。

攻击者通过部署Cellebrite的间谍软件（如“falcon”二进制文件）对受害者设备进行了详细的数据提取。虽然某些目标设备由于生物识别锁定未能成功安装恶意应用，但仍然成功窃取了大量敏感信息，包括通话记录、消息内容和抗议活动的协调细节。这些信息可能被用来进一步压制抗议活动。

被攻击的受害人之一是名为“Vedran”的23岁学生活动家，他在塞尔维亚反政府抗议活动中被拘捕，随后其设备成为攻击的目标。调查结果显示，设备在被侵入后，攻击者使用find/grep等命令枚举文件系统，试图获取更多敏感数据。

谷歌在发现该漏洞后，迅速发布了相关的安全更新，修复了CVE-2024-53104漏洞，并且修复了部分影响Linux内核的漏洞。然而，尽管安卓的最新安全补丁已修复这些漏洞，仍有大量设备未及时更新，尤其是在安卓生态中，由于厂商更新周期的不一致，约有40%的安卓设备仍未修复这些漏洞。

此外，Google的威胁分析小组与国际特赦组织合作，对此次攻击进行深入分析，并帮助修复了上述漏洞。尽管如此，由于设备碎片化和厂商更新的滞后性，安卓系统仍然存在大量未修复的安全隐患，增加了类似攻击的风险。

在此次事件曝光后，Cellebrite于2025年2月25日宣布暂停与塞尔维亚的合作，声明称：“我们认为停止为相关客户提供产品是适当的……我们的合规程序确保产品的道德和合法使用。”然而，批评者指出，Cellebrite的这一回应缺乏透明度，未明确说明暂停合作的具体时间，也没有公布恢复合作的条件以及是否采取了足够的人权保障措施。

尽管如此，Cellebrite的高级数字取证工具（如UFED）依然在全球78个国家/地区运营，其中包括一些被指控滥用其产品的国家。对于这些工具的道德使用和人权保障，外界依然存在严重质疑。

此次事件再次暴露了数字取证工具在政府监控中的滥用问题，特别是在安卓系统面临的物理接触攻击中存在的脆弱性。尽管补丁已发布，但由于安卓设备的更新滞后，大量用户仍然处于潜在风险之中。

此外，Cellebrite等公司提供的先进工具，以及其在多个国家的运营，可能加剧全球范围内的数字隐私和人权问题。如何在确保国家安全的同时避免技术滥用，已成为亟待解决的难题。全球各国应加强监管，推动数字取证行业的透明度，以防止这些技术被用于侵害公民基本权利。

内容来源：

https://cybersecuritynews.com/android-phone-cellebrites-usb-zero-day/