Česká policie používá na zajišťování důkazů z mobilních telefonů produkty od firmy Cellebrite. Ty ale obsahují řadu bezpečnostních děr, které podle tvůrců aplikace Signal můžou vést ke znehodnocení důkazů. Na dotaz serveru iROZHLAS.cz uvedl mluvčí Policejního prezidia, že nahlášené chyby programu nebude policie hodnotit vzhledem k probíhajícím trestním případům.

Tento článek je více než rok starý.

Česko 6:30 3. května 2021 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Pokud policie zabaví mobilní telefon podezřelému z trestného činu, stojí před otázkou, jak z telefonu získat a uložit důkazy, tedy například fotografie nebo záznam z chatovací aplikace. Jednou z možností je ručně každou fotografii či konverzaci otevřít a ofotit ji z obrazovky zařízení. Něco takového je ale časově náročně a navíc se tak ztratí informace o času a místě vytvoření, které v sobě třeba právě fotografie vyfocené mobilním telefonem nesou.

Ke slovu tak přijde počítač vybavený speciálním programem, který z telefonu stáhne všechny soubory a uspořádá je tak, aby si je mohli kriminalisté prohlížet či mezi nimi vyhledávat. Česká policie používá nástroje od společnosti Cellebrite, za které platí Policejní prezidium tuzemskému distributorovi okolo šesti milionů korun ročně. Za další stovky tisíc si tyto nástroje objednávají i některá krajská ředitelství.

Jak ale ukázala analýza, kterou provedli tvůrci šifrované chatovací aplikace Signal, nástroje určené policistům obsahovaly více než stovku bezpečnostních chyb, často známých více než deset let.

„Zjistili jsme, že je možné spustit na zařízení Cellebrite libovolný program jednoduše tak, že na telefon umístíme jinak neškodný soubor,“ napsal zakladatel Signalu a autor komunikačního protokolu používaného například i aplikací Whatsapp Moxie Marlinspike. Podle něj takový kód může změnit informace uložené na policejním počítači, a to včetně protokolů o minulých analýzách telefonů, které policie s tímto počítačem prováděla.

Podle Marlinspikea jsou takové změny jen těžko zjistitelné, pokud vůbec, což může zpochybnit důvěryhodnost důkazů, které policie díky nástrojům od Cellebrite zajistila. Využití popsané chyby předvedl i na videu, kde nástroj od Cellebrite přiměl zobrazit zprávu „Mess with the best, die like the rest. Hack the planet!“ (odkaz na seriál Hackers z roku 1995,  pozn. red.).

Všechno zkrátka nezašifrujete. A policisté to ví

Číst článek

„Hodnotit dopad na probíhající trestní řízení nebudeme,“ napsal serveru iROZHLAS.cz Ondřej Moravčík z tiskového oddělení Policejního prezidia na dotaz, jak bude policie na zjištěný problém reagovat. Bez odpovědi zůstal i dotaz, zda bude policie po českém distributorovi nástrojů, firmě Forsolution, požadovat nápravu.

Během kriminalistických analýz je podle Moravčíka „kombinováno více nástrojů, a je-li to možné, tak se provádí vizuální kontrola“.

Pohlídat to musí znalci

Podle advokáta a tajemníka Unie obhájců Petra Svobody je posouzení, zda byly elektronické důkazy zajištěné korektně, obvykle úkolem pro soudního znalce. „U většiny obhájců či soudců nelze očekávat výrazné znalosti výpočetní techniky,“ vysvětlil a dodal, že v případě pochybností je namístě, aby obhájce navrhl přezkum znalcem nebo IT odborníkem. Z jeho pohledu by se tak přístup soudů k elektronickým důkazům změnit  neměl, protože jejich korektnost znalci zkoumají i dnes.

Samotná společnost Cellebrite se ke zveřejněným chybám ve svých nástrojích oficiálně nevyjádřila. Podle webu Motherboard ale v minulých dnech rozeslala svým zákazníkům aktualizace programů. Touto aktualizací firma zároveň omezila, které její nástroje se dají použít k získávání informací z telefonů značky Apple. Podle anonymního zdroje webu Motherboard se aktualizace snaží „zmenšit prostor pro případný útok, ne chyby úplně vyřešit“.

Antimonopolní úřad žádá přístup k datům operátorů, chce je využít například k odhalování kartelů

Číst článek

Firma k tomu má dobrý důvod: Marlinspike totiž naznačil, že Signal začne přidávat do své mobilní chatovací aplikace kód, který se pokusí popsané chyby v programech Cellebrite využít.

Past na policii možná i ve vašem telefonu

Na nastražený program tak mohou v budoucnu narazit bezpečnostní složky po celém světě, Signal má odhadem 40 milionů uživatelů. Společnost Cellebrite dodávala své nástroje západním vládám i režimům v Turecku, Spojených arabských emirátech, Hongkongu, Rusku nebo Bělorusku.

Česká policie už v minulosti nakupovala nástroje na prolamování elektronické komunikace od společnosti Hacking Team. Najevo to vyšlo po kybernetickém útoku, během kterého firma přišla o balík interních dokumentů. Také její služby tehdy vedle českých policistů využívala i americká FBI a evropské úřady či Etiopie, Kazachstán, Saúdská Arábie a Súdán.

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít