La aplicación de mensajería cifrada Signal dice que ha encontrado fallas en el software utilizado por la compañía de seguridad cibernética Cellebrite.
Las dos compañías han estado en desacuerdo desde que Cellebrite afirmó haber descifrado la mensajería segura de Signal el año pasado, una afirmación que disputa ferozmente.
En la última disputa, el jefe de Signal, Moxie Marlinspike, bromeó que había adquirido el sistema de Cellebrite después de que «se cayó de un camión» frente a él.
Y, afirmó, su software era tan defectuoso que podía piratearlo fácilmente.
«Prácticamente no hay límites en el código que se puede ejecutar», escribió en su blog, sugiriendo que las fallas podrían usarse para acceder a datos, cambiar configuraciones y más.
‘Prevenir la piratería’
En un comunicado, Cellebrite dijo: «Nos esforzamos constantemente para garantizar que nuestros productos y software cumplan y superen los más altos estándares de la industria para que todos los datos producidos con nuestras herramientas estén validados y sean forenses».
Marlinspike dijo: «Por una coincidencia realmente increíble, recientemente salí a caminar cuando vi un pequeño paquete caer de un camión delante de mí.
«En el interior, encontramos las últimas versiones del software Cellebrite, un dongle de hardware diseñado para evitar la piratería … y una cantidad extrañamente grande de adaptadores de cable»
Insinuando sus motivos para la publicación del blog, dijo: «Su software a menudo se asocia con eludir la seguridad, así que tomemos un tiempo para examinar la seguridad de su propio software».
Y en un video cargado de referencias satíricas a la película de culto de 1995 Hackers, Marlinspike luego demostró aparentemente ejecutar un simple código en una máquina que ejecuta el software Cellebrite, que, según él, mostraba una manera fácil de comprometer el sistema de la compañía de seguridad.
«Es posible ejecutar cualquier código», agregó, «y una carga útil de explotación real probablemente buscaría alterar de manera indetectable informes anteriores, comprometer la integridad de informes futuros (tal vez al azar) o extraer datos de la máquina Cellebrite».
Dicen que la venganza es un plato que se sirve mejor frío, pero en este caso, se sirvió con una risita.
La publicación del blog de Signal está llena de referencias de piratería y burlas directas a Cellebrite.
Las fallas que Signal afirma haber descubierto en la controvertida tecnología Cellebrite, si son precisas, son vergonzosas para una empresa que se factura a sí misma como lo suficientemente inteligente como para acceder a sistemas de mensajería segura.
Y esto ocurre, por supuesto, solo unos meses después de que Cellebrite afirmara haber desarrollado una forma de descifrar los mensajes privados de Signal, una afirmación desacreditada desde entonces.
Así que esta investigación de venganza de la seguridad cibernética parece haber dejado a Cellebrite con preguntas que responder.
El experto en seguridad cibernética Andrew Morris resumió mejor esta historia cuando tuiteó: «Esta publicación de blog es el equivalente nerd de una pista de rap absolutamente despiadada».
Y es posible que esta batalla de piratería de rap ya haya terminado con una caída del micrófono Signal.
La disputa comenzó en diciembre, cuando Cellebrite afirmó haber descifrado el sistema de cifrado de Signal, en una publicación de blog que luego modificó para restar importancia al reclamo.
Signal respondió calificando la afirmación de «bastante vergonzosa» y criticando la cobertura de los medios, en particular la de BBC News.
En su publicación más reciente, Marlinspike dijo: «Una forma de pensar acerca de los productos de Cellebrite es que si alguien sostiene físicamente su dispositivo desbloqueado en sus manos, podría abrir las aplicaciones que quisieran y tomar capturas de pantalla de todo lo que contienen para guardar y repasar más tarde »
«Cellebrite esencialmente automatiza ese proceso para alguien que tiene su dispositivo en sus manos».
En su propia declaración, Cellebrite dijo que «entiende que la investigación es la piedra angular para garantizar esta validación, asegurándose de que la evidencia digital obtenida legalmente se utilice para perseguir la justicia».
«Continuaremos integrando estos estándares en nuestros productos, software y el equipo de Cellebrite, con el fin de ofrecer las herramientas más efectivas, seguras y fáciles de usar para nuestros clientes», agregó.
Joe Tidy para bbc.com
*Si bien Cellebrite afirmó no tener evidencia al respecto, ofrece a los usuarios diferentes instancias para resolver dudas a la espera de nuevos antecedentes.
