Autoritățile ruse au reușit să acceseze telefonul unui proeminent oponent politic în timp ce acesta se afla în detenție, folosind tehnologie dezvoltată de compania de criminalistică forensică Cellebrite — chiar și după ce compania afirmase că a rupt legăturile cu agențiile guvernamentale ale regimului Putin, conform unui nou raport care ridică noi întrebări cu privire la posibilitatea companiilor de tehnologie occidentale de a controla cu adevărat modul în care instrumentele lor sunt utilizate odată ce ajung pe piață.
Acest caz servește ca o poveste de avertizare pentru orice companie de tehnologie care vinde guvernelor. Cellebrite, o companie israeliană cu un al doilea sediu în Virginia, care vinde produse guvernelor din întreaga lume — inclusiv din SUA — anunțase că va înceta furnizarea de hardware și software către Rusia. Se pare că nu a reușit, sau nu a dorit, să respecte acest angajament.
Cercetătorii de la The Citizen Lab, un grup pentru drepturi digitale din cadrul Universității din Toronto, au declarat că au găsit dovezi că o unitate de investigație a guvernului rus a utilizat un instrument de hacking telefonic produs de Cellebrite pentru a accesa iPhone-ul disidentului local pentru drepturile omului și politicianului de opoziție Andrey Pivovarov în iunie 2021. Cu trei luni înainte de acest hack, Cellebrite anunțase că va înceta „imediat” vânzarea tehnologiei sale către clienții săi guvernamentali ruși.
Pe site-ul său oficial, Cellebrite susține că, începând cu martie 2021, când a rupt legăturile cu guvernul Putin, compania „poate opri funcționarea dispozitivului sau primirea de actualizări software”. Nu este clar de ce acest lucru nu s-a întâmplat în acest caz, iar episodul expune un adevăr incomod despre tehnologia de supraveghere: odată ce tehnologiile puternice de hacking și supraveghere ajung la clientul greșit, recuperarea lor nu este atât de ușoară. Instrumentele se răspândesc, sunt abuzate și pot continua să fie abuzate, adesea mult timp după ce compania care le-a fabricat și-a „spălat mâinile” de client.
„Nu este surprinzător și este rezultatul politicilor Cellebrite”, a declarat Eitay Mack, un avocat israelian pentru drepturile omului, care militează de mult timp împotriva producătorilor de tehnologie de supraveghere precum Cellebrite și NSO Group, producătorul de spyware.
Mack a argumentat că încetarea vânzărilor, și chiar revocarea unei licențe software, nu împiedică un fost client Cellebrite să abuzeze de tehnologia companiei, așa cum demonstrează acest caz. Mack a subliniat, de asemenea, că Cellebrite refuză să spună dacă solicită clienților să demonteze instrumentele de hacking pe care le-a vândut, o lacună critică pe care propriile anunțuri de rupere a legăturilor nu o abordează. Acest caz, a adăugat Mack, sugerează că foștii clienți pot încă abuza de instrumentul de deblocare a telefoanelor Cellebrite, denumit UFED, chiar și după ce compania încetează să mai ofere suport clientului și, presupunând, revocă licența software. Teoretic, acest lucru ar trebui să facă dispozitivele companiei mai puțin utile.
John Scott-Railton, cercetător senior la Citizen Lab, a declarat pentru TechCrunch că Cellebrite „ar trebui, de asemenea, să dezactiveze de la distanță implementările în urma rapoartelor credibile de abuz și să pună capăt erei negării plauzibile prin implementarea de filigrane semnate criptografic pe toate dispozitivele imaginate”. În termeni simpli, Cellebrite ar trebui să fie capabil să-și dezactiveze de la distanță instrumentele atunci când acestea sunt utilizate greșit și ar trebui să includă un fel de amprentă digitală, astfel încât orice date extrase cu tehnologia sa să poată fi urmărite până la dispozitivul specific utilizat.
Cellebrite vinde dispozitive hardware concepute pentru a debloca și a accesa prin hacking telefoanele mobile conectate la acestea. De-a lungul anilor, cercetătorii au documentat cazuri în care clienții companiei și-au folosit tehnologia împotriva dizidenților, activiștilor pentru drepturile omului și jurnaliștilor din Hong Kong, Kenya și Iordania. Ca răspuns la unele dintre aceste constatări, Cellebrite a rupt legăturile cu Bangladesh, China și Hong Kong, Myanmar și Serbia.
Într-un e-mail trimis către Citizen Lab, pe care l-a distribuit TechCrunch, directorul de marketing al Cellebrite, David Gee, a declarat că compania „a încetat toate vânzările și serviciile către Federația Rusă în martie 2021, a reziliat licențele existente și a început imediat lichidarea tuturor contractelor legale. Orice utilizare a hardware-ului Cellebrite existent în Rusia după martie 2021 este complet neautorizată”. Gee, precum și purtătorul de cuvânt al Cellebrite, Victor Cooper, nu au răspuns la o serie de întrebări specifice trimise de TechCrunch.
În cazul lui Pivovarov, cercetătorii de la Citizen Lab au declarat că au reușit să găsească dovezi forensice pe telefonul său că acesta a fost accesat prin hacking cu Cellebrite UFED, după ce autoritățile ruse l-au reținut și i-au confiscat iPhone-ul 12 și MacBook-ul în mai 2021. Pivovarov a împărtășit cercetătorilor și un document judecătoresc primit ca parte a procesului său. În acesta, Centrul Expert Criminalistic al guvernului rus a detaliat utilizarea Cellebrite UFED pentru a accesa telefonul său, afirmând că autoritățile au folosit UFED pentru a extrage date, inclusiv mesaje WhatsApp și Telegram. De asemenea, au căutat în telefon termeni politici, precum și numele figurilor de opoziție, care includeau ținte ale a ceea ce cercetătorii au descris ca fiind presupuse campanii de hacking ale guvernului rus.
Pivovarov a fost directorul grupului de opoziție acum defunct Open Russia. Ulterior, a fost condamnat la patru ani de închisoare, înainte de a fi eliberat în august 2024 ca parte a unui schimb de prizonieri între Rusia și țările occidentale, care l-a eliberat și pe reporterul Wall Street Journal, Evan Gershkovich. Ambasada rusă la Washington D.C. nu a răspuns solicitării de comentarii.