Cellebrite on ohjelmisto ja laitteisto, jota viranomaiset ja hallinnot voivat käyttää kaivaakseen esiin tietoja puhelimista, kun puhelimien omistajat eivät syystä tai toisesta halua näitä viranomaisia päästää puhelimiaan tonkimaan. Moxie Marlinspike, oikealta nimeltään Matthew Rosenfeld, puolestaan on salauksestaan tunnetun pikaviestipalvelu Signalin perustaja, joka vannoo ihmisten yksityisyyden nimeen. Kun Marlinspike sai käsiinsä Cellebriten, seurasi mielenkiintoisia asioita.

Marlinspike kuvailee Signalin blogissa, ehkä hieman totuutta värittäen, kuinka hän aivan sattumalta kävelyllä ollessaan näki Cellebrite-paketin putoavan ohi ajavasta kuorma-autosta. Laite ja sen ohjelmisto otettiin sitten syyniin, ja sisältä paljastuikin varsin haavoittuvainen laite.

Cellebrite lähtökohtaisesti käyttää puhelimien ja niiden sovellusten haavoittuvuuksia niin, että puhelinta fyysisesti hallussaan pitävä voi kaivaa sisällöstä kuvakaappauksia ilman omistajan suostumusta. Marlinspiken tutkailuissa kävi ilmi, ettei Cellebrite ole itse välittänyt tehdä järjestelmäänsä kovinkaan kummallisia suojauksia.

Marlinspiken mukaan Cellebriten oma tietoturva on hyvin heikoilla kantimilla, eikä alan standardeihin kuuluvia suojauksia ole juurikaan tehty. Tämä mahdollistaa sen, että puhelimeen asennettuun sovellukseen voitaisiin sisällyttää koodia, joka kääntyykin suoraan Cellebritea vastaan. Marlinspiken mukaan puhelinsovellus voisi esimerkiksi muuttaa Cellebriten antamia raportteja, myös sen aiemmin antamia, ilman että laitteen käyttäjälle jäisi tästä selviä merkkejä.

Blogikirjoituksessaan Marlinspike mainitsee aivan sivumennen, että Signal-sovelluksen tulevat versiot sisältävät tiedostoja, jotka ”ovat esteettisesti miellyttäviä”, mutta jotka eivät sovelluksessa itsessään tule tekemään mitään.

Marlinspiken blogikirjoitus on vähintäänkin härski näpäytys Cellebritelle, jonka asiakaskuntaan on kuulunut Valko-Venäjän ja Venezuelan kaltaisia valtioita sekä esimerkiksi Myanmarin sotilasjuntta tai Bangladeshin kuolemanpartiot.

Marlinspike mainitsee, että on valmis paljastamaan Cellebritelle sen järjestelmän haavoittuvuudet sillä ehdolla, että yhtiö puolestaan kertoo asianosaisille kaikki ne haavoittuvuudet, joita se käyttää kaivaakseen tietoja puhelimista ja niiden sovelluksista.

Erityisesti Apple on ollut tukkanuottasilla Cellebriten ja sen asiakkaisiin kuuluvien viranomaistahojen kanssa. Aihetta sivuten Marlinspike näyttää blogissaan kuvakaappauksen Cellebriten sisältämistä Applen dll-tiedostoista ja arvelee, että Apple tuskin on myöntänyt yhtiölle lisenssiä tiedostojen käyttämiseen ja jakamiseen. Marlinspiken mukaan tällainen tekijänoikeusrikkomus saattaakin olla riski Cellebritelle ja sen käyttäjille.