Signal-topman Moxie Marlinspike beweert dat hij software van het Israëlische bedrijf Cellebrite heeft gehackt. Dit deed hij via kwetsbaarheden in de hackingtool, schrijft hij woensdag in een blogpost. Cellebrite levert onder meer software aan de Amerikaanse FBI en overheden, waarmee ze toegang tot bijvoorbeeld vergrendelde iPhones kunnen krijgen.

De software van Cellebrite kan telefoons kraken om autoriteiten toegang te verschaffen tot data. Denk aan versleutelde berichten, zoals WhatsApp-berichten of gesprekken uit de beveiligde chatdienst Signal.

Het is niet duidelijk hoe Marlinspike aan de software komt. De Signal-topman zegt dat hij een dongel (een hardwaresleutel) met de nieuwste Cellebrite-software "toevallig heeft gevonden nadat die uit een bestelbusje was gevallen".

Toen Marlinspike de dongel onder de loep nam, ontdekte hij verschillende kwetsbaarheden in de software. Iemand die het systeem waarop de dongel is aangesloten wil saboteren, zou via de software kunnen inbreken en bestanden bekijken.

"We zijn verrast dat er blijkbaar zeer weinig zorg is gestoken in de softwarebeveiliging van Cellebrite", schrijft hij. "De standaard beschermingsmaatregelen ontbreken en er zijn veel mogelijkheden om kwetsbaarheden te exploiteren."

Marlinspike zegt de kwetsbaarheden in de software met Cellebrite te willen delen in ruil voor transparantie over welke zwaktes in smartphones worden geëxploiteerd via de Cellebrite-apparatuur.

De claims van Marlinspike kunnen moeilijk bevestigd worden. Cellebrite heeft in een reactie aan Gizmodo laten weten zich te zullen inzetten om de gegevens van klanten te beschermen en de software regelmatig van updates te voorzien.

Verbetering: Aanvankelijk stond in het artikel dat Marlinspike een apparaat van Cellebrite had gevonden. Het gaat echter om een dongel die de Cellebrite-software bevat.