Maker van iPhone-kraaksoftware Cellebrite koopt virtualisatiebedrijf Corellium

Het is hoofdzakelijk kraak-software voor de forensische opsporing en industrie, en de andere diensten eromheen hebben dat ook als dependency. Het kraken staat centraal. Kraak-software is daarom wel degelijk een accurate benaming, al zou ik iPhone weglaten en forensisch toevoegen.

Ze kraken namelijk ook Android telefoons. Sterker nog, ze kunnen zo'n beetje alle Android smartphones uitlezen wanneer ze hot zijn, inclusief Pixel (enkel met GrapheneOS of wanneer de smartphone koud is wordt het een wat ingewikkelder verhaal). Deze informatie is publiekelijk geworden enige tijd geleden dankzij een uitgelekt document. Android heeft wat dit betreft een minder goede naam (GrapheneOS niet). De kwetsbaarheden die ze gebruiken (waaronder zero days) zijn het meest interessante gedeelte van de stack, de secret sauce. Daar zit het meeste geld in, en dat is logisch: daar is de meeste technische expertise voor nodig om te ontwikkelen, en zonder dat doet de rest het eigenlijk niet. De rest is uiteindelijk gewoon een gebruikersvriendelijke frontend voor dd en file explorer, dat gaat vooral om gebruikersvriendelijkheid waardoor een iets minder technisch onderlegde collega het ook reproduceerbaar kan uitvoeren waardoor de expert zich met ingewikkeldere zaken bezig kan houden. Maar rocket science is dat gedeelte niet want hier zijn ook wel andere tools voor, zoals de FOSS tools van The Sleuth Kit (specifiek Autopsy), en het terughalen van verwijderde data is technisch gezien een koud kunstje mits de data niet is overschreven omdat een rm (of soortgelijk, OS onafhankelijk) doorgaans niet overschrijft maar enkel unlinkt want dat is te duur (onnodige write) en zorgt voor wear (vooral flash ed. waaronder eMMC, SSD, NVMe, EEPROM) of substantieel minder I/O op de gegevensdrager (vooral HDD). Vandaar dat ze zeggen 'in sommige gevallen', en ze houden netjes voor zich om lezers niet wijzer te maken hoe daaromheen te werken is (al is dit gewoon algemeen bekend binnen tech-land, is het handig als een niet zo technisch onderlegde vd die van ernstige feiten wordt beschuldigd dat niet weet). Eerdergenoemde tooling worden ook ingezet voor forensische doeleinden, en ze zijn zoals ik al zei zelfs FOSS.

Waar het vooral om gaat: ze leveren aan landen die er discutabele mensenrechten op na houden (zoals bijvoorbeeld Servië, Turkije, UAE, Rusland (al zijn ze hier in ieder geval publiekelijk minstens deels mee gestopt)), inmiddels inclusief het land waar ze gehuisvest zijn. De leider van dat betreffende land wordt gezocht door het ICC voor oorlogsmisdaden, en intern wordt hij onderzocht voor corruptie (zie de 2024 documentaire The Bibi Files). Omdat ze ook aan landen leveren die wel de mensenrechten in acht nemen kun je ze op z'n best greyhats noemen (al mag je ze van mij ook grayhats noemen ). Ik ben van mening dat alleen al het feit dat ze dit met droge ogen deden moreel verwerpelijk is, gezien de stakes, en dat geeft aan hoe hun morele kompas werkt. Net zoals mensen zoals the grugq die exploit brokers zijn en deze dingen op de zwarte markt verhandelen met als argument 'als ik het niet zou doen, dan zou een ander het doen' 😂 leuke verdediging in geval van iemand die een wapen levert aan de moordenaar van een politicus: 'als ik het niet zou doen, dan zou een ander het doen'... en helaas, door dit soort praktijken gaan mensen ook daadwerkelijk dood (zoals bijvoorbeeld Jamal Khashoggi, hoewel dat dankzij NSO Group was). We moeten kwetsbaarheden gaan zien voor wat ze zijn: digitale wapens. Geen wonder dat The Grugq in Bangkok, Thailand zit.

Dan over Corellium. Corellium, opgericht door de bekende jailbreaker David Wang, is het enige bedrijf ter wereld dat fatsoenlijk remote iOS en iPadOS virtualisatie aanbiedt, en wordt gebruikt door security researchers en developers. Security researchers hoeven we het niet over te hebben; dat is nogal wiedes dat je niet met je directe concurrent informatie wilt delen. Ook als developer zou ik niet willen dat Cellebrite in mijn proprietary source code zou kunnen loeren, en ze zijn gek als ze dat niet heimelijk zouden doen gezien hun primaire business case. Voor FOSS is het een ander verhaal, al heeft men volledige toegang tot alle handelingen (zoals de eigenaar van de cloud computer), lijkt me dat slechts een kanttekening waard.

Bij Corellium moeten ze bovenstaande ook weten (dat deze acquisitie hun dienst schade toebrengt), en om die reden denk ik dat ze opportunistisch daar gebruik van willen maken op de short term, en het ze misschien wel hoofdzakelijk gaat om de expertise van Wang.

Balen, dit nieuws, en om meerdere redenen een discutabele acquisitie.

In 2016 meldde de Israëlische krant Yedioth Ahronoth dat die dienst de software naar verluidt ook had gebruikt om toegang tot de iPhone van een van de San Bernardino-schutters te krijgen.

David Wang (co-founder Corellium) ook:

Wikipedia: David Wang (hacker)

While working for Azimuth Security, Wang worked on a project for the FBI where he helped unlock an iPhone that belonged to an attacker who was part of the 2015 San Bernardino attack.

Voor de duidelijkheid: met het gedeelte na 'Balen, dit nieuws, en om meerdere redenen een discutabele acquisitie.' is niets mis mee, en ook samenwerken/verkopen aan landen die wel mensenrechten respecteren is niets mis mee. Blijft ook lastig zoiets want het kan verschuiven (zie VS). Maar indien je dit vorig decennium met droge ogen aan een land als Rusland verkocht dan ben je m.i. echt fout bezig. Op dit niveau, gezien de stakes, kun je dat niet maken.

[Reactie gewijzigd door Jerie op 4 december 2025 04:26]