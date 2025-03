Bezpečnostní chyby v operačních systémech chytrých telefonů nejsou nic nového. Co se však stane, když se taková chyba dostane do rukou státních orgánů, které ji zneužijí k špehování vlastních občanů? Přesně to se odehrálo v Srbsku, kde tamní úřady využily zranitelnosti v Androidu k odemykání zabavených zařízení a k instalaci špionážního softwaru.

Google vydal 4. března aktualizaci, která opravuje 43 bezpečnostních chyb v operačním systému Android. Mezi nimi se nacházely dvě zero-day zranitelnosti, z nichž jedna (konkrétně CVE-2024-50302) byla dle zjištění organizace Amnesty International (AI) aktivně zneužívána srbskými úřady k odemykání zabavených telefonů.

Srbské úřady a Cellebrite

Amnesty International objevila zneužití této zranitelnosti již v polovině roku 2024 při forenzní analýze jednoho z kompromitovaných zařízení. Analýza odhalila, že po odemčení zařízení se srbské úřady pokusily nainstalovat neznámou aplikaci, která měla sloužit ke sledování uživatele. V dřívějších případech byla pro tyto účely používána špionážní aplikace označovaná jako NoviSpy.

Podle zjištění Amnesty International využívaly srbské úřady řetězec exploitů vyvinutý izraelskou forenzní společností Cellebrite k odemykání zabavených zařízení. Tento řetězec zahrnoval tři zranitelnosti v USB ovladačích linuxového jádra: CVE-2024-53104 (ta byla opravena již v únoru), CVE-2024-53197 a zmíněnou CVE-2024-50302 (ty byly opraveny v březnu).

Exploity zneužívající zranitelnosti v USB ovladačích nejsou ničím novým. V dubnu 2024 Google opravil dvě podobné chyby, které forenzní firmy používaly k obcházení zamykací obrazovky Androidu: „O těchto zranitelnostech a riziku jejich zneužití jsme věděli již dříve a ihned jsme vyvinuli odpovídající opravy. Google sdílel opravy se spolupracujícími OEM partnery již 18. ledna,“ uvedl mluvčí Googlu.

Snaha o špehování aktivisty

Cellebrite je digitální zpravodajská společnost, která poskytuje nástroje pro orgány činné v trestním řízení pro sběr, kontrolu, analýzu a správu digitálních dat. Její technologie byly dříve spojeny s řadou kontroverzních případů, včetně sledování novinářů a aktivistů v různých zemích.

Srbský případ se týkal především studentského aktivisty, kterému úřady zabavily telefon Samsung Galaxy A32. Po odemčení zařízení se do něj pokusily nainstalovat špionážní software. „Tento nový případ poskytuje další důkazy o tom, že úřady v Srbsku pokračovaly ve své kampani sledování občanské společnosti i po zveřejnění naší zprávy,“ uvedli autoři zprávy Amnesty International.

V reakci na obvinění Amnesty International firma Cellebrite oznámila, že okamžitě pozastavuje přístup srbským bezpečnostním složkám ke svým nástrojům. „Po přezkoumání obvinění vznesených ve zprávě AI z prosince 2024 jsme podnikli kroky k prošetření každého tvrzení v souladu s našimi etickými zásadami. Považovali jsme za vhodné v tuto chvíli zastavit používání našich produktů příslušnými zákazníky,“ uvedla.

Jak se chránit?

Zranitelnosti v ovladačích USB jsou obzvlášť nebezpečné, protože mohou postihnout širokou škálu zařízení bez ohledu na výrobce. Útočníci s fyzickým přístupem k zařízení mohou obejít zamykací obrazovku a získat privilegovaný přístup k systému. „Tvůrci Androidu musí naléhavě posílit obranné bezpečnostní funkce ke zmírnění hrozeb z nedůvěryhodných USB připojení k zamčeným zařízením,“ upozorňuje zpráva AI.

Analýza kódu špionážního softwaru NoviSpy odhalila, že byl pravděpodobně vyvinut v Srbsku, o čemž svědčí komentáře v kódu v srbštině a také fakt, že byl naprogramován pro komunikaci se servery v Srbsku. Chyba srbských úřadů umožnila odborníkům z Amnesty International propojit NoviSpy se srbskou Bezpečnostně-informační agenturou (BIA) a jedním z jejích serverů.

Uživatelé zařízení s Androidem by měli co nejdříve nainstalovat bezpečnostní aktualizace z února a března. Ačkoli standardní Android nemá přímý ekvivalent k režimu omezeného USB připojení jako Apple, uživatelé mohou zmírnit hrozbu vypnutím ladění USB (ADB) a nastavením režimu připojení kabelu na „Pouze nabíjení“.