Amnesty International ha scoperto che tre vulnerabilità di Android sono state sfruttate dal governo serbo per spiare uno studente attivista con il famigerato tool Cellebrite. Google ha già rilasciato le relative patch. Sono state incluse negli aggiornamenti Android inviati agli OEM a gennaio, oltre che nel kernel di Linux.
Catena di exploit zero-day
Gli esperti di Amnesty International avevano già descritto il modus operandi delle autorità serbe a dicembre 2024. In quel caso avevano utilizzato il tool di Cellebrite per sbloccare gli smartphone di giornalisti e attivisti con lo scopo di installare lo spyware NoviSpy.
L’azienda israeliana ha comunicato a fine febbraio di aver bloccato l’uso del tool da parte delle forze di polizia serbe. Amnesty International aveva nel frattempo ricevuto lo smartphone di uno studente arrestato durante una protesta a Belgrado.
L’analisi forense del dispositivo (un Samsung Galaxy A32) ha confermato lo sblocco effettuato dalle forze di polizia serbe con il tool di Cellebrite. Ciò è avvenuto sfruttando una catena di tre exploit zero-day. Le tre vulnerabilità erano presenti nei driver USB del kernel Linux, usati anche da Android. Oltre ad aggirare la protezione di sblocco consentivano di installare app con privilegi root.
Le vulnerabilità sono identificate con CVE-2024-53014, CVE-2024-53197 e CVE-2024-50302. Amnesty International ha inviato i risultati dell’analisi forense a Google. Un ricercatore di Citizen Lab ha evidenziato che gli smartphone Android sono facilmente sbloccabili con il tool di Cellebrite. Giornalisti e attivisti che rischiano il sequestro del proprio dispositivo dovrebbero usare un iPhone.
Aggiornamento (6/03/2025): Google ha rilasciato le patch per le vulnerabilità CVE-2024-53014 e CVE-2024-50302 nel codice sorgente di Android Open Source Project (AOSP).
Ti potrebbe interessare
1 mar 2025