Studentessa spiata con exploit Cellebrite, è allarme per Android

Amnesty International ha denunciato l'uso di un exploit zero-day, commercializzato dalla controversa azienda Cellebrite, per violare il telefono di una giovane attivista serba, nota per le sue posizioni critiche nei confronti del governo. L'attacco ha sfruttato vulnerabilità presenti nei driver che il kernel Linux utilizza per la gestione dell'hardware USB, consentendo agli aggressori di superare le difese del dispositivo. Secondo il rapporto, le autorità serbe continuano a monitorare attivisti e membri della società civile, nonostante precedenti denunce e richieste di riforma sia a livello nazionale che internazionale. Inoltre, l'azienda Cellebrite aveva già annunciato un'indagine sull'uso improprio del proprio software, senza però evidenti risultati concreti.

Le prime tracce di questo attacco erano già emerse lo scorso anno, durante un'indagine condotta da Amnesty International su un caso analogo al di fuori della Serbia. L'analisi aveva rivelato che gli aggressori utilizzavano un exploit capace di aggirare la schermata di blocco di Android. Una delle falle di sicurezza sfruttate, catalogata come CVE-2024-53104, è stata ufficialmente corretta all'inizio di febbraio 2025 con un aggiornamento di sicurezza rilasciato da Google. Tuttavia, altre due vulnerabilità critiche, CVE-2024-53197 e CVE-2024-50302, pur essendo state risolte a livello del kernel Linux, non sono ancora state integrate nel sistema Android, lasciando i dispositivi ancora esposti a possibili attacchi.

A cosa ha condotto l'analisi forense?

L'analisi forense condotta sullo smartphone compromesso ha rivelato che, una volta sbloccato, le autorità hanno tentato di installare un'applicazione sconosciuta. Amnesty International ha evidenziato come questa tecnica sia coerente con altri casi in cui Cellebrite è stato utilizzato per installare spyware, come il malware NoviSpy. Inoltre, la dinamica dell'attacco ha mostrato che il telefono della giovane attivista è stato ripetutamente collegato a dispositivi esterni tramite la porta USB.

Queste periferiche, probabilmente emulatori di dispositivi audio o video, sono state usate per accedere alla memoria del kernel e manipolarla per ottenere il controllo del dispositivo. La vittima dell'attacco, una studentessa di 23 anni, è attiva nelle manifestazioni studentesche che si stanno svolgendo a Belgrado. Di fronte a queste minacce alla sicurezza, Amnesty International invita tutti gli utenti Android ad aggiornare immediatamente i propri dispositivi installando la patch di febbraio, per ridurre il rischio di compromissione da parte di exploit simili.