内部告発!Cellebriteハッキングに脆弱なPixelスマホが判明
引用元:https://news.ycombinator.com/item?id=45766501
記事が一番大事な問いに答えてないのが残念だね。”ボランティア製のカスタムROMが、公式のPixel OSより産業用電話ハッキングに強い理由をGoogleに問い合わせた。Googleから何か回答があれば、この記事を更新する予定だ”って言ってるけど、まだ返事がないみたいだよ。
GrapheneOSが本当にハッキングされにくいのか、それともCellebriteが法執行機関(LEs)が現場でGrapheneOSに遭遇する確率が低いから、対応にそれほど力を入れてないだけなのか、どっちなんだろうね?
簡単に言うと、Googleは企業だから連邦政府に強制される可能性があるけど、非営利団体はそれに強いんだよ。Ron Wydenが2023年にその弱点の一つを指摘してたね。詳しくはここを見て。https://arstechnica.com/tech-policy/2023/12/apple-admits-to-…
ロックするとUSBポートが物理的に無効になるから、攻撃されにくくなるんだ。
それに、自動で再起動するように設定もできるんだよ。
今言われたことは、メインのAndroidにも簡単に導入できる改良点だよ。
GrapheneOSはユーザーには不便だけど、セキュリティはすごく高めてるんだよね。一般の人は煩わしく感じるだろうし、Googleがこれと同じことをしたら、ユーザーが減っちゃうかもね。Google Payも使えないし。詳しい例はここ。https://old.reddit.com/r/GooglePixel/comments/ytk1ng/graphen…
昔のHN postで、三文字機関がGrapheneOSを嫌ってるって読んだんだ。著者はdefconか似た会議で聞いた話らしいけど、その投稿は見つからなかったんだよね。
DefconやBlackhatの議論の投稿に埋もれてるんじゃないかな。
もしGrapheneOSが純正Pixelより安全じゃないと分かったら、すごい大騒ぎになるだろうね。
Fedsがおとり捜査(ANOM-style honeypot operation)として、ターゲットをだまして、安全性の低い方法を使わせようとしてる可能性もあるかも?
これはあくまで思考実験だからね。
GrapheneOSはボランティア製じゃないんだ。約10人の有給開発者がいる非営利財団が作ってるんだよ。寄付で開発者やインフラ費をまかなってるんだ。
Ars Technicaもその間違いを修正して、記事からその記述を消したみたいだね。
Pixelスマホの何が不便なの?Google Playも使えるし、顔認証がないことくらいしかデメリットないよ。
これはGoogleの選択だよ。売却後に強制されないスマホを作れたのに、顧客のセキュリティに投資しないことを選んだんだ。政府にとって良いことがGoogleにとっても良いってことだね。Snowden事件後、GoogleがTLSを導入したことを覚えてる?あの「激怒した」人々はもういないんだろうね。GoogleとAppleがこの10年でいかに「enshittified」になったか驚きだよ。参照: https://www.bbc.com/news/world-us-canada-24751821
これは有効な疑問だね。巨大企業が政策にロビー活動し莫大な収益を上げてるのに、OSからapkが搾取されてる。今週のニュースを見ても、MicrosoftやAppleにも同じ疑問が当てはまるよ。彼らは大きすぎてセキュリティを気にしないの?
iOSは自動再起動とか、ロック中のUSBデータ機能の無効化とか、両方とも既にやってるはずだよ。
「GoogleとAppleがいかにenshittifiedになったか」って話だけど、モバイルセキュリティではAppleが圧倒的だよ。前回のCellebriteリークでBFUでは何もできなかったし、逮捕時にSiriにBFUに戻すよう言えるんだからね。
他のCellebrite文書によるとiOSもハッキングされているみたいだから、GrapheneOSは彼らにとって労力に見合わないかもね。
リストされてる機能は全部、搾取のハードルを大幅に上げるものだよ。https://grapheneos.org/features
GrapheneOSはセキュアなのに、銀行アプリは「セキュリティのため」って動かないんだね?
なんで純正ROMはGrapheneOSの機能を使って、もっとセキュアになれないの?
iOSは2024年にcheckm8時代のiPhoneとか、既知の脆弱性があるiOSバージョンならハッキング可能だったよ。最新ハードウェアとアップデートは「研究中」だから、つまり「できない」ってことだね。
Fedsが企業のデータを欲しがれば、どのアメリカ企業も選択の余地はないよ。でも、それがAppleとかがデバイス上のデータを覗き見から守る設計をしようとするのを止めるわけじゃないんだ。
CellebriteがiOS 17.5.1のAFU状態を突破した最後のリークは2024年だったらしい。今回のPixelの件で、最新のiOS情報も誰かがゲットしてくれると良いな。Edit: 最後にリークされた情報だと、彼らは当時最新のiOSリリース(17.5.1)を、ごく一部の最新ハードウェア(CASで利用可能とされていた)を除き、AFU状態で突破していたんだ。
https://discuss.grapheneos.org/d/14344-cellebrite-premium-ju…
良いニュースは、最近見つかるテーブルでは、PixelもiOSもBFU状態でフルファイルシステム抽出はできないみたいだぞ。
GrapheneOSにはGoogleのOSレベルでの統合がないんだ。Google Play Servicesはインストールできるけど、Chromecastみたいなものは使えない。それに、手動での設定も多いんだよ(具体的に何を覚えてないけど、GrapheneOSを使ったことがないんだ)。多くのものは無料で手に入るけど、全部じゃないし、「機能」として削除されたものが、誰も望まないものとは限らないからな。
政府は協力しない個人や組織にバックドアを提供させるために、腕を捻じ曲げる方法をたくさん持ってる。増税や規制強化から、幹部のPCやスマホにCSAMを”発見”することまでね。政府は政府だからやりたいことをやる。単なる法律なんて、長くは邪魔にならないんだ。
開発者オプションでUSBポートを充電専用に設定できるぞ。
GrapheneOSはパッチをすごく早くリリースするんだ、OEMよりも速いこともしょっちゅうだぞ。でも、パッチは個別の既知の脆弱性を直すのにしか役に立たない。GrapheneOSはさらに、脆弱性のクラス全体から守ることに注力してるんだ。[1] 例えば、個々のシステムコンポーネントのメモリ破壊バグを直すだけでなく、GrapheneOSはhardened_malloc [2]という形でOS全体にメモリ保護を導入しているし、カーネルやほとんどのシステムプロセス(ごく一部の例外を除く)、そして全てのユーザーインストールアプリでARM memory tagging extensionを有効にしてるんだ。ハニーポット説は、GrapheneOSが完全にオープンソースで、開発者、資金、インフラ、その他の内部情報について非常に透明だから、意味がないよ。
[1] https://grapheneos.org/features#exploit-protection
[2] https://github.com/GrapheneOS/hardened_malloc
Google Walletは動くけど、NFCのタップtoペイ決済はできないんだ。Googleがその部分に強力なPlay Integrityを強制してるからね。Google認定OSしか使わせないんだ。それはGoogleの残念な選択であって、GrapheneOSのせいでも選択でもないんだ。
最新のiOSでBFUの既知の脆弱性は、何年もなかったぞ。AFUは時々可能だけど、ほとんどのリークでは最新のソフトウェアとハードウェアはまだ保護されてた。だから、可能ならスマホの電源を切っておくのが常に良いアイデアだ。
Google Payがなければ、Google Walletは実質的にただのカード番号保管庫だ。それはそれでも便利だけど、カード端末では使えないぞ。
Apple以外の多くのデバイスもBFUで安全だよ。技術的にはそんなに複雑じゃない、基本的にはフルディスク暗号化だ。Appleはセキュリティとプライバシーの幻想を売ってるけど、デバイスの持ち主からは、それほど意味のある安全やプライバシーを提供してるわけじゃないんだ。Facebookトラッキングをブロックするって大騒ぎしてたのに、同時に自分たちの侵入的なトラッキングを追加してたのを覚えてる?
それ違うって。Cellebriteは最近のiOS用のBFUとAFUエクスプロイトを持ってるし、数週間から数ヶ月で最新のiOSバージョンやハードウェアに追いついてるよ。Pixel 2/Pixel 6以降やiPhone 12以降のセキュアエレメントがあるデバイスにはブルートフォース対応してないけど、BFUモードでエクスプロイトしてロック解除前のデータは抽出できるんだ。iPhone 17はハードウェアメモリタグのおかげでうまくいくかもしれないけど、以前のiOSやiPhoneモデルは君が主張するようには持ちこたえてないよ。
パターンロックが削除されちゃって、ちょっと嫌なんだよね。生体認証(指紋や顔)は、合衆国憲法修正第5条の自己負罪拒否権で保護されないから好きじゃないし。今はPINしか画面ロックの選択肢がないんだ。
もっとコメントを表示(1)
Signalのブログ(https://signal.org/blog/cellebrite-vulnerabilities/)にもあるように、Cellebriteがハッキングされる可能性もあるって希望があるよね。ターゲットのスマホを自動でハッキングするソリューションをCellebriteが開発するけど、そうすると彼らの物理デバイス自体がハッキングされるリスクに晒されるわけだから。
「本当に信じられない偶然で、この前散歩してたら目の前のトラックから小さな荷物が落ちるのを見たんだ」だって。ハハハ。これって「fall off the back of a truck」っていう一般的な表現なの?
フランスではまさに人気のある表現で、「stolen(盗まれた)」とか「acquired by non-disclosable means(明かせない方法で入手した)」って意味だよ。
うん、アメリカ英語でも同じ意味で使うよ。
そうそう、Wiktionaryにも載ってるよ(https://en.wiktionary.org/wiki/fall_off_the_back_of_a_truck)。
ここにあるのは、ぼやけてない元の文書だよ(https://www.documentcloud.org/documents/24833831-cellebrite-os-access-support-matrix.pdf)。2024年から「android os access support matrix」で検索すればdocumentcloudで見つかったんだ。
私が論争してるわけじゃないんだけどね。君がリンクした文書は1年半前のものだし、もし今回の情報が本物なら、ずっと新しいものだよ。セキュリティは攻撃側と防御側の絶え間ないいたちごっこだから、こういう更新はいつも歓迎されるべきだよね。
うん、異論はないよ。:)
なるほど、俺が誤解してたみたい。”2024年から利用可能”ってのを、この新しい情報への否定だと捉えてたよ。
それも公平だね!ほぼ同じバージョンがみんなに見つけられる形で公開されてるのに、”リーカー”って言葉はちょっと気に食わないな。documentcloudに似た文書が転がってるか、みんなに探してほしいね。そこにはニュースになるお宝がいっぱいだよ、これはいい例だ。
これにはPixel 9は入ってないから、記事の画像はちょっと更新されたみたいだね。
たった約10数人のプログラマーが、数十億ドル企業のOSより明らかに安全なバージョンを、その会社のハードウェアで提供してるって。これってすごいことだぜ!
それか、ユーザー数が少ないからエクスプロイト発見の優先度が低かったのかもな。
可能性はあるね。GrapheneOSも利用者が増えてるし、もし重要なターゲットがこのOSを使っていたら、Cellebriteも緊急で脆弱性調査をするのは避けたいだろうしな。
“コンピューターセキュリティ”をSilicon Valley、Redmond、Seattleみたいな広告サービス会社に任せるべきじゃないって議論もあるかもな。広告やリーチを気にする会社は、ソフトウェアを最大多数のユーザーに普及させ、独占的地位を得るインセンティブがある。これは人気ゆえにエクスプロイトの標的になりやすい。また、何百万もの人々のデータを無差別に収集するオンライン監視も標的となる。
代替案として、多くのOS、ブラウザ、”アプリストア”、”プラットフォーム”から選べる状態を考えよう。これらは技術的に”セキュリティ”で優れているとは限らないが、数社の広告サービス大手だけが”おいしい標的”でなくなることで、全体的な”セキュリティ”は向上する。オープンスタンダードと相互運用性の要件があれば、ユーザーは自分で好きなソフトウェアを選び、開発、インストールできるだろう。
Cellebriteに名指しされるってことは、GrapheneOSの能力と目的へのコミットメントの証だね!
GrapheneOSが採用した超シンプルな使いやすさとセキュリティのトレードオフは、画面がロックされている間に新しいデバイスをUSBに挿しても、画面をアンロックするまで機能しないこと。年間3回くらい有線イヤホン使いたい時、ちょっとイライラするけど、AFUハッキングには大きな障害になるよ。
誰か、有線イヤホン用に、この手の攻撃を受け付けない純粋なアナログポートを発明してくれよ。
今の薄いスマホに合う標準サイズと、どの向きでも使える対称性を持たせたワイヤーはどうかね?
俺のPixelにはGrapheneOS入れて2FA指紋+PIN解除してるから、協力なきゃ誰も侵入できないぜ。GOSだと緊急サービスが位置特定できないのが問題だったけど、リスクある活動の時はSIMを入れ替えて使える、ストックOSのPixelを緊急用に持ってるよ。これには個人情報は入れてないし、PLBも持ってる。
Samsungとか他のベンダーがGrapheneOSのセキュリティ革新を取り入れるのを、何か邪魔してるものってあるのかね?
お約束の https://xkcd.com/538 だよ。
https://grapheneos.org/features#duress これ見てみて :D
それ使ったら証拠隠滅の罪で告発されるよ。
GrapheneOSはOEMと協力してGrapheneOSスマホを開発してるっぽいね。Samsungじゃなさそうだけど、ちゃんとしたベンダーになるのは間違いないよ。
GrapheneOSがE911で問題起こすって話は初めて聞いたよ。これって設定の問題なの?
それってE911の問題なの、それともA-GPSの問題なのかな?
Fairphoneでこれが実現したら、最高だね。
多分、秘密の政府命令(FISAとかNSLとか)に従う法的義務と、政府の機嫌を損ねたくないって気持ちからだろ。政府は「ハッキングできないスマホ作るなよ!」って言ってるんだろうな。
GrapheneOSって、PSDSとかSUPL(デフォルトで有効らしい)と、オプションでWi-Fiベースの位置情報プロバイダも提供してるんだよ。だから、E911で位置情報が問題になることはないはずだよ。
もっとコメントを表示(2)
GrapheneOSスマホを作ってるわけじゃなくて、プロバイダが新しいデバイスをGrapheneOSのセキュリティ要件に合わせるのを手伝ってるだけだよ。GrapheneOSが最初から入ってるわけじゃないと思う。
きっと、彼らが君に押し付けようとしてるどんな罪で起訴されるよりはマシだろ?
USだとどうかわからないけど、EUの緊急番号はSIMカードとか契約がなくてもかけられるよ。SIMカードを入れ替える必要もないし、(たまにロックされてるスマホからでもかけられる)らしい。
緊急電話としてPixelをもう一台持つってのは、911の問題が何年も前からあることを考えると、かなり大胆な選択だね。
Samsungじゃないって。
…Googleソフトウェアが入ってるやつね。
Samsungが出してるハードウェアは、スペックを満たしてないんだよね。
Fairphoneは無理だよ。詳細はこのGrapheneOSのリンク見てね:https://discuss.grapheneos.org/d/24134-devices-lacking-stand…https://grapheneos.social/@GrapheneOS/115379774100353715
そしてこれも:https://grapheneos.social/@GrapheneOS/114874684738751793
Samsungってアメリカの会社じゃないし、そんなこと言ったらEU Cyber Resilience Actとか他の国の法律とぶつかっちゃうよ。
アメリカも同じだね。俺、子供の頃インドネシアでSIMカード入ってないアメリカ製スマホから911にかけちゃって、ビビってすぐ切ったことあるよ。
セキュアなハードウェアを作るために優秀な開発者やエンジニアにお金払って、セキュリティを理解し、その需要を見るべきだよね。でも、歴史見ると期待しない方がいいってさ。たまにGoogleのハードウェア(ソフトなしね)みたいに運が良いこともあるけどね。
もしそんな機能に頼ってたら、証拠隠滅の罪で捕まっても、刑期は短くなるかもね…。
もしDuress PINがバレバレだったら、敵は最初にそれを試すかもね。例えば1111とか。だから、Duress PINを教えなくても試されちゃう可能性があるよ。
GrapheneOSがプリインストールされたデバイスを買うオプションができる可能性は十分あるよ。これ見てね:https://grapheneos.social/@GrapheneOS/114749924008111970
それは場合によるね。隠蔽の方が犯罪そのものよりひどいことってよくあるんだよ。Enron、Watergate、Trevor Jacobの事件を見てみたら?
彼らがそれを証明しなきゃいけないよね。
脅されての協力も、結局は協力なんだよな。
情報源:https://news.ycombinator.com/item?id=45765858
GrapheneOSのいいところは、セキュリティ以外にもGoogle Play Servicesを昇格した権限なしで、しかもバックグラウンドで動かせない別のプロファイルにインストールできることだよ。これで普段使いにも、”公式”アプリを使いたい時にも対応できる。Play Integrityの”MEETS_BASIC_INTEGRITY”は通るけど、それより上のレベルは通らない。でもそれはGrapheneOSが安全じゃないからじゃなくて、GMSに昇格した権限を与えないからなんだ。嬉しいことに、銀行アプリは標準のAndroidアテステーション機構を使ってGrapheneOSをホワイトリスト登録できるし、一部はもうやってるよ。
うちの国の最大の銀行アプリのベータ版で、夏に俺のPixel 8 ProとGrapheneOSの組み合わせが安全じゃないってフラグが立ったんだ。銀行に電話して問題を説明したら、数日後にはその問題がない新しいビルドがインストールできるようになったよ。
GrapheneOSのおかげで、俺は銀行アプリ、Gmail、ソーシャルメディア、キャンディクラッシュ、そしてヌード写真まで、全部Google Play Servicesが安全に監視する形でサンドボックスに入れてるんだ。F-droidのノートアプリとSSHターミナルがあるプライベートなプロファイルとは別にしてね。
なんでCellebriteデバイスが一つも”紛失”して徹底的に解析されないんだろうね?きっとかなり多くの警察署がおおらかだろ。
