国际特赦组织揭露塞尔维亚政府利用Cellebrite零日漏洞监控公民

国际特赦组织（Amnesty International）周五发布报告，指出争议性漏洞供应商Cellebrite出售的零日漏洞被用于攻击一名批评塞尔维亚政府的学生手机。这是继去年12月报告后，再次揭露塞尔维亚政府利用间谍软件进行广泛监控的行为。

监控行动的背景

国际特赦组织在去年12月的报告中指出，塞尔维亚政府“普遍且常规地使用间谍软件”，作为“针对公民社会的广泛国家控制和镇压”的一部分。报告称，塞尔维亚当局使用了Cellebrite和NSO（另一家备受争议的漏洞供应商）出售的漏洞。Cellebrite随后回应称，已暂停向塞尔维亚的“相关客户”销售产品。

新事件揭露

周五的报告显示，国际特赦组织发现了新的证据，表明Cellebrite出售的攻击链被用于绕过完全修补的Android设备的锁屏，攻击了一名批评塞尔维亚官员的学生。该攻击链利用了Linux内核中用于支持USB硬件的设备驱动程序中的一系列漏洞。

报告指出，尽管塞尔维亚国内外广泛呼吁改革，且Cellebrite宣布对其产品滥用进行调查，但塞尔维亚当局仍在继续监控公民社会。

攻击链的技术细节

该漏洞针对Linux内核的USB驱动程序，使Cellebrite客户能够在物理接触锁定Android设备的情况下，绕过锁屏并获得设备的高级访问权限。由于该漏洞针对核心Linux内核USB驱动程序，其影响不仅限于特定设备或厂商，可能影响广泛的设备。虽然该漏洞链也可能暴露Linux计算机和嵌入式设备，但目前没有证据表明其针对非Android的Linux设备。

报告提到，其中一个漏洞（CVE-2024-53104）已在2025年2月的Android安全公告中修复，另外两个漏洞（CVE-2024-53197和CVE-2024-50302）已在Linux内核上游修复，但尚未纳入Android。

攻击的实施

国际特赦组织对被攻击手机的分析显示，塞尔维亚当局在解锁设备后试图安装一个未知应用程序。报告作者指出，这与该组织此前揭露的NoviSpy间谍软件安装案例一致。

在攻击的初始阶段，目标手机的USB端口连接到各种外围设备。在后期阶段，这些外围设备反复连接到手机，以“披露和整理内核内存作为利用的一部分”。分析人员认为，这些外围设备可能是模拟视频或声音设备的特殊用途设备。

谷歌的回应

谷歌发言人表示，他们在报告发布前已意识到这些漏洞和利用风险，并迅速为Android开发了修复程序。修复程序已于1月18日通过合作伙伴咨询与OEM合作伙伴共享，并将包含在未来的Android安全公告中，并作为Android安全补丁级别（SPL）的要求。谷歌建议用户尽快安装安全补丁或软件更新。

受害者的背景

被攻击手机的拥有者是一名23岁的学生，经常参与贝尔格莱德的学生抗议活动。国际特赦组织建议尚未安装2月补丁的Android用户尽快更新设备。