La police serbe a utilisé le piratage zero-day des célébrités pour déverrouiller les téléphones Android

Les autorités serbes auraient utilisé une chaîne d’exploitation Android zero-day développée par Cellebrite pour déverrouiller l’appareil d’un étudiant militant dans le pays et tenter d’installer un logiciel espion.

Celebrity est une société israélienne de criminalistique numérique qui développe des outils utilisés par les forces de l’ordre, les agences de renseignement et les entreprises privées pour extraire des données des smartphones et autres appareils numériques.

Des entreprises comme Celebrity utilisent couramment des exploits zero-day pour accéder et extraire des données généralement protégées sur des téléphones verrouillés.

L’utilisation de cet exploit Android a été découverte par le Laboratoire de sécurité d’Amnesty International à la mi-2024 lors de recherches médico-légales sur les journaux de l’appareil touché.

🚨 UPDATE YOUR DEVICES 🚨: Amnesty International uncovers sophisticated zero-day exploit affecting billions of Android devices.

Cellebrite's Linux USB exploit was used to unlock the phone of a Serbian youth activist, targeted in December 2024 **after** previous reports abuses pic.twitter.com/iJSzM9ndww

— Donncha Ó Cearbhaill (@DonnchaC) February 28, 2025

L’organisation avait déjà signalé des cas d’abus du droit à la vie privée en Serbie en décembre 2024. En réponse aux révélations, Cellebrite a annoncé avoir bloqué l’accès à ses outils pour les services de sécurité du pays (BIA) plus tôt cette semaine.

Après qu’Amnesty a partagé ses conclusions avec le Groupe d’analyse des menaces (TAG) de Google, les chercheurs de Google ont pu identifier trois vulnérabilités dans les pilotes USB du noyau Linux, également utilisés dans Android, qui ont été exploitées comme des jours zéro.

Les trois défauts sont:

• CVE-2024-53104 (exploit de classe vidéo USB)
• CVE-2024-53197 (exploitation du pilote audio USB ALSA)
• CVE-2024-50302 (exploit de périphérique caché USB)

La première faille a été corrigée dans les mises à jour de sécurité Android de février 2025 de Google, marquées comme « sous exploitation limitée et ciblée. »

Les deux autres failles n’ont pas encore été annoncées comme corrigées dans les bulletins de mise à jour de sécurité Android, et selon le modèle de l’appareil et la fréquence à laquelle les fabricants mettent à jour son noyau, cela peut prendre un certain temps.

Donncha O’Cearbaill, responsable du Laboratoire de sécurité d’Amnesty, a déclaré à Breachtrace que le correctif CVE-2024-53104 pourrait suffire à perturber l’ensemble de la chaîne d’exploitation, bien qu’ils ne puissent pas encore en être certains.

Graphenes a déclaré à Breachtrace que leur distribution Android avait déjà des correctifs pour CVE-2024-53197 et CVE-2024-50302 car ils mettent régulièrement à jour le dernier noyau Linux.

GrapheneOS blocks reaching any of these vulnerabilities for locked devices through our USB-C port and pogo pins control feature disabling new connections at a hardware level and a software level after locking along with disabling USB data in hardware too:https://t.co/4XuvGQbF7G

— GrapheneOS (@GrapheneOS) February 28, 2025

Breachtrace a demandé à Google quand les correctifs pour les deux failles deviendraient disponibles pour tous les utilisateurs d’Android, mais nous attendons toujours une réponse.

Pilotes USB sous le feu
Les exploits USB tirent généralement parti des vulnérabilités du système USB d’un périphérique, telles que les pilotes, le micrologiciel ou les composants du noyau, pour obtenir un accès ou un contrôle non autorisé sur le système.

L’exploit peut entraîner une corruption de la mémoire pour l’exécution de code arbitraire, injecter des commandes malveillantes ou contourner les écrans de verrouillage.

Un facteur atténuant est qu’ils nécessitent un accès physique à l’appareil cible. Dans ce cas, et dans de nombreux autres cas similaires, cette exigence a été facilement remplie par la police détenant la personne et confisquant son appareil.

En avril 2024, Google a corrigé deux failles zero-day (CVE-2024-29745 et CVE-2024-29748) exploitées par des entreprises médico-légales pour déverrouiller des téléphones sans code PIN, implémentant la mise à zéro de la mémoire avant l’activation de l’USB.

Plus tôt ce mois-ci, Apple a corrigé un jour zéro (CVE-2025-24200) Cellebrite et GrayKey exploités pour contourner le mode restreint USB pour extraire les données des iPhones.

Stock Android n’a pas d’équivalent direct au mode restreint USB d’Apple. Cependant, les utilisateurs peuvent toujours atténuer la menace en désactivant le débogage USB( ADB), en réglant le mode de connectivité par câble sur « Charge uniquement » et en activant le cryptage complet du disque (Paramètres → Sécurité et confidentialité → Plus de sécurité et de confidentialité → Cryptage et informations d’identification → Crypter le téléphone).