Una fuga di notizie proveniente da un briefing riservato di Cellebrite, azienda nota per la fornitura di strumenti di hacking forense alle forze dell’ordine, rivela un quadro preoccupante per la sicurezza degli smartphone Google Pixel.
Secondo quanto trapelato, i dispositivi Pixel 6, 7, 8 e 9 con software “stock” (l’OS ufficiale di Google) sarebbero vulnerabili all’estrazione dei dati, anche nel loro stato più sicuro.
In netto contrasto, gli stessi telefoni su cui è installato GrapheneOS, un sistema operativo alternativo focalizzato sulla privacy, risulterebbero immuni a questi attacchi.
Il sistema Google è più vulnerabile di quello personalizzato
La notizia è emersa dopo che un individuo anonimo, operante sotto lo pseudonimo “rogueFed”, è riuscito a infiltrarsi in una riunione di Cellebrite tenutasi su Microsoft Teams.
L’utente ha successivamente pubblicato diversi screenshot del briefing sui forum di GrapheneOS, un progetto open-source senza scopo di lucro che sviluppa un OS basato su Android ma privo dei servizi Google e dotato di numerose fortificazioni di sicurezza. Il fatto che Cellebrite includa GrapheneOS nei suoi test testimonia la crescente popolarità del sistema tra gli utenti attenti alla privacy.
Gli screenshot, sebbene sfocati, mostrano una tabella di supporto che dettaglia le capacità di estrazione di Cellebrite sui Pixel. L’analisi è suddivisa in tre stati del dispositivo: “sbloccato” (unlocked), “dopo il primo sblocco” (AFU) e “prima del primo sblocco” (BFU).
Quest’ultimo, lo stato BFU, si riferisce a un dispositivo che è stato riavviato e non ancora sbloccato; tradizionalmente, è considerato lo stato più sicuro in assoluto, poiché tutti i dati sono protetti dalla crittografia completa del disco.
Secondo quanto affermato da Cellebrite ai suoi clienti delle forze dell’ordine, la loro tecnologia è in grado di estrarre dati dai Pixel 6, Pixel 7, Pixel 8 e Pixel 9 con sistema operativo Google di serie in tutti e tre gli stati, incluso quello BFU. Il documento trapelato specifica, tuttavia, che non è possibile forzare i passcode per ottenere il controllo completo del dispositivo.
Il leaker “rogueFed” ha inoltre aggiunto che le forze dell’ordine non sono ancora in grado di copiare le eSIM dai dispositivi Pixel, un dettaglio rilevante dato che la serie Pixel 10 (non inclusa nel leak, ma lanciata da poco) sta abbandonando le SIM fisiche in alcuni mercati.
Il confronto con GrapheneOS è impietoso
Il confronto con GrapheneOS è impietoso. La tabella di Cellebrite indica che i Pixel con GrapheneOS sono accessibili solo se eseguono versioni software antecedenti alla fine del 2022 (i Pixel 8 e 9 sono stati lanciati dopo tale data, implicando una sicurezza nativa su GrapheneOS).
I dispositivi con build aggiornate sono risultati sicuri dall’estrazione di dati negli stati BFU e AFU. Ancora più sorprendente, il documento indica che “a partire dalla fine del 2024“, anche un dispositivo GrapheneOS completamente sbloccato è immune alla copia ed estrazione dei dati.
Questa rivelazione solleva interrogativi importanti su come un sistema operativo personalizzato, creato da una piccola organizzazione no-profit, possa dimostrarsi più resistente agli strumenti di hacking industriale rispetto al sistema operativo ufficiale sviluppato da Google.
