Israeliska Cellebrite är känt som företaget vars hård- och mjukvara hjälper polis och andra myndigheter att hacka mobiler. Det är inte lika ökänt som också israeliska NSO Group vars Pegasus-skadeprogram har använts för att spionera på bland annat Al Jazeera-journalister, men företagets produkter har använts bland annat i Förenade Arabemiraten, Ryssland och Venezuela.

Nu har utvecklarna av appen krypterade meddelandeappen Signal kommit över en av Cellebrites hackarpaket komplett med hårdvarudongel, mjukvara och annat.

Moxie Marlinspike, en av Signals grundare, skriver i ett humoristiskt blogginlägg om hur utvecklarna har undersökt mjukvaran och upptäckt att den själv inte är det minsta säker utan tvärt om väldigt enkel att hacka. Bland annat har den en version av ffmpeg-biblioteket från 2012 som saknar över 100 säkerhetsfixar.

Det visade sig snart att det enkelt går att sabotera Cellebrites program genom att placera en specialdesignad fil var som helst i en telefon. När mjukvaran extraherar alla filer från telefonen och kommer fram till denna fil körs godtycklig kod, som till exempel kan radera all data på datorn eller göra ändringar som gör inlästa filer obrukbara.

Moxie Marlinspike skriver att Signal kommer börja hämta små filer då och då som inte gör något särskilt utom att ”se snygga ut”, vilket uppenbart syftar på att appen kommer börja bygga in sabotagefiler för Cellebrites mjukvara.

Men inte nog med det. Utvecklarna har också upptäckt att Cellebrite inkluderar dll-filer från Itunes, kryptografiskt signerade av Apple, och påpekar att det inte är troligt att företaget har fått en licens från Apple för att göra det. Det innebär att programmet med största sannolikhet gör intrång på Apples upphovsrätt.