Signal-baas beweert dat hackingtool van politie gemakkelijk te kraken is

Signal-topman Moxie Marlinspike beweert dat hij een apparaat van het Israëlische bedrijf Cellebrite heeft gehackt. Dit deed hij via kwetsbaarheden in de software, schrijft hij woensdag in een blogpost. Cellebrite levert onder meer apparatuur aan de Amerikaanse FBI en overheden, waarmee ze toegang tot bijvoorbeeld vergrendelde iPhones kunnen krijgen.

De apparatuur van Cellebrite kan telefoons kraken om autoriteiten toegang te verschaffen tot data die anders niet zijn in te zien. Denk aan versleutelde berichten, zoals WhatsApp-berichten of gesprekken uit de beveiligde chatdienst Signal.

Het is niet duidelijk hoe Marlinspike aan de apparatuur komt. De Signal-topman zegt dat hij het apparaat "toevallig heeft gevonden toen het uit een bestelbusje viel". Volgens de Marlinspike is de machine voorzien van de nieuwste Cellebrite-software.

Toen Marlinspike het apparaat onder de loep nam, ontdekte hij verschillende kwetsbaarheden in de software. Iemand die het apparaat wil saboteren, zou die kunnen gebruiken om in te breken en bestanden te bekijken.

"We zijn verrast dat er blijkbaar zeer weinig zorg is gestoken in de softwarebeveiliging van Cellebrite", schrijft hij. "De standaard beschermingsmaatregelen ontbreken en er zijn veel mogelijkheden om kwetsbaarheden te exploiteren."

Marlinspike zegt de kwetsbaarheden in de software met Cellebrite te willen delen in ruil voor transparantie over welke zwaktes in smartphones worden geëxploiteerd via de Cellebrite-apparatuur.

De claims van Marlinspike kunnen moeilijk bevestigd worden. Cellebrite heeft in een reactie aan Gizmodo laten weten zich te zullen inzetten om de gegevens van klanten te beschermen en de software regelmatig van updates te voorzien.