كشف تقرير جديد لمنظمة العفو الدولية أن ناشطًا صربيًا يبلغ من العمر 23 عامًا تعرّض لاستهداف هاتفه العامل بنظام أندرويد بواسطة ثغرة يوم الصفر طورتها شركة Cellebrite لاختراق الجهاز.
🛡️ ووفقًا للتقرير:
🔹 تم استغلال هاتف طالب مشارك في الاحتجاجات عبر سلسلة من ثغرات يوم الصفر تستهدف برامج تشغيل USB في أندرويد، وهي تقنية متطورة طورتها Cellebrite.
🔹 تم العثور على آثار لهذا الهجوم في تحقيق منفصل منتصف عام 2024.
تفاصيل الثغرة الأمنية: CVE-2024-53104
🔍 الثغرة الأساسية: CVE-2024-53104 (بتقييم 7.8/10 وفق CVSS)
🔸 تتعلق بتصعيد الامتيازات في مكون النواة الخاص بمشغل USB Video Class (UVC) في نظام لينكس.
🔸 قامت مايكروسوفت بإصلاحها في نواة لينكس في ديسمبر 2024، ثم أُدرج التحديث في أندرويد خلال فبراير 2025.
📌 يُعتقد أن هذه الثغرة استُخدمت مع ثغرتين أخريين لم يتم تصحيحهما بعد في نشرات أمان أندرويد:
🔹 CVE-2024-53197 – ثغرة وصول خارج النطاق تؤثر على أجهزة Extigy وMbox (لم يتم تحديد تقييمها بعد).
🔹 CVE-2024-50302 (بتقييم 5.5/10) – ثغرة استغلال مورد غير مهيأ قد تؤدي إلى تسريب ذاكرة النواة.
📌 كيف يُستغل هذا الهجوم؟
وفقًا لمنظمة العفو الدولية، فإن هذه الثغرات تستهدف برامج تشغيل USB في نواة لينكس، مما يسمح لمستخدمي أدوات Cellebrite، في حال امتلاكهم وصولًا ماديًا إلى الهاتف، بتجاوز شاشة القفل والحصول على امتيازات متقدمة على الجهاز.
🛑 الخطر الحقيقي:
🔸 يكشف هذا الهجوم عن كيفية استغلال نقاط الضعف في USB في نظام أندرويد، خصوصًا بسبب استمرار دعم العديد من برامج تشغيل USB القديمة في نواة لينكس.
مصادرة هاتف الناشط واستغلال الثغرة
📌 الناشط، الذي أُطلق عليه اسم مستعار “فيدران” لحماية هويته، تم اعتقاله من قبل الشرطة في 25 ديسمبر 2024 أثناء مشاركته في احتجاج طلابي في بلغراد، حيث تمت مصادرة هاتفه.
🔍 نتائج تحليل منظمة العفو الدولية:
✅ تم اختراق هاتفه من نوع Samsung Galaxy A32 باستخدام الثغرة.
✅ حاولت السلطات تثبيت تطبيق أندرويد غير معروف على الهاتف بعد فك تشفيره.
✅ بينما لم يُعرف بعد نوع التطبيق، إلا أن الأسلوب المستخدم مشابه لعمليات التجسس السابقة المرتبطة ببرمجية NoviSpy، والتي تم رصدها في منتصف ديسمبر 2024.
ردّ Cellebrite على القضية
📢 نفت شركة Cellebrite استخدامها لأدواتها في أنشطة التجسس أو الهجمات السيبرانية، مشيرةً إلى أنها تعمل على منع إساءة استخدام تقنياتها.
📌 خطوة جديدة:
🔹 أعلنت الشركة أنها ستتوقف عن السماح لصربيا باستخدام برامجها، موضحةً أنها قررت منع العملاء المعنيين من الوصول إلى منتجاتها في الوقت الحالي.
