Rosja użyła Cellebrite do odblokowania iPhone’a aktywisty mimo wstrzymania sprzedaży narzędzi - Security Bez Tabu

Rosja użyła Cellebrite do odblokowania iPhone’a aktywisty mimo wstrzymania sprzedaży narzędzi

Cybersecurity news

Wprowadzenie do problemu / definicja

Narzędzia mobile forensic, takie jak rozwiązania z rodziny UFED, są wykorzystywane do pozyskiwania danych z urządzeń mobilnych na potrzeby działań śledczych. Problem pojawia się wtedy, gdy technologia tego typu trafia do państw autorytarnych lub zostaje użyta w sprawach politycznych, ponieważ może służyć nie tylko analizie dowodowej, ale również represjom wobec aktywistów, dziennikarzy i opozycji.

Opisywany przypadek pokazuje, że formalne wstrzymanie sprzedaży nie musi oznaczać końca ryzyka. Jeżeli wcześniej dostarczone zestawy działają lokalnie i nie wymagają stałej autoryzacji producenta, mogą nadal być wykorzystywane do ekstrakcji danych z przejętych urządzeń.

W skrócie

  • Rosyjskie organy miały użyć narzędzi Cellebrite UFED do uzyskania dostępu do iPhone’a opozycyjnego aktywisty Andrieja Piwowarowa.
  • Do użycia technologii miało dojść kilka miesięcy po ogłoszeniu przez producenta zakończenia sprzedaży do Rosji i Białorusi.
  • Ustalenia oparto na śladach technicznych znalezionych na urządzeniu oraz na dokumentacji śledczej wskazującej konkretne produkty użyte podczas analizy.
  • Sprawa unaocznia, że wcześniejsze wdrożenia narzędzi forensic mogą pozostawać operacyjne mimo embarga handlowego.

Kontekst / historia

Andriej Piwowarow, związany z ruchem Open Russia, został zatrzymany 31 maja 2021 roku na lotnisku w Petersburgu. W trakcie zatrzymania skonfiskowano jego iPhone’a 12 oraz MacBooka. Z ujawnionych informacji wynika, że nie przekazał dobrowolnie haseł ani zgody na przeszukanie urządzeń.

W marcu 2021 roku Cellebrite poinformowało o zakończeniu sprzedaży narzędzi i usług do Rosji oraz Białorusi. Jednak samo ogłoszenie takiej decyzji nie usuwa automatycznie wcześniej dostarczonych stanowisk analitycznych. Jeśli klient końcowy posiada już wdrożoną infrastrukturę, może ona w wielu przypadkach pozostać użyteczna przez długi czas.

To właśnie ten aspekt czyni sprawę szczególnie istotną dla branży cyberbezpieczeństwa. Ograniczenia handlowe mogą zatrzymać nowe dostawy, ale nie zawsze odcinają zdolności operacyjne instytucji, które wcześniej pozyskały odpowiednie narzędzia.

Analiza techniczna

Według opublikowanych ustaleń wskazano dwa główne źródła dowodowe. Pierwszym były artefakty techniczne znalezione na iPhonie, które miały wskazywać na wcześniejsze połączenie urządzenia z hostem odpowiadającym wzorcowi kojarzonemu z platformą Cellebrite UFED. Tego typu ślady mogą mieć duże znaczenie, ponieważ system iOS zapisuje informacje o zaufanych relacjach pomiędzy telefonem a urządzeniem, z którym był łączony.

Drugim elementem była dokumentacja śledcza rosyjskich organów. W raporcie miały pojawić się nazwy konkretnych produktów, w tym UFED Physical Analyzer oraz UFED 4PC. Dokumentacja wskazywała również na analizę danych pochodzących z komunikatorów, takich jak WhatsApp, Telegram i Viber.

Technicznie nie chodziło o zdalne zainfekowanie telefonu spyware’em, lecz o lokalną ekstrakcję danych z urządzenia znajdującego się już w fizycznej dyspozycji organów. To ważne rozróżnienie, ponieważ klasyczne środki ochrony przed malware niekoniecznie zabezpieczają użytkownika przed skutkami konfiskaty telefonu i użycia specjalistycznych narzędzi forensic.

W przypadku MacBooka próba uzyskania dostępu miała zakończyć się niepowodzeniem z powodu szyfrowania oraz braku hasła. To potwierdza praktyczną skuteczność pełnego szyfrowania dysku jako jednej z najważniejszych warstw ochrony po fizycznym przejęciu sprzętu.

Najważniejszy wniosek techniczny dotyczy jednak samego modelu działania takich platform. Jeżeli narzędzia mogą pracować offline, a ich użycie nie zależy od ciągłej autoryzacji po stronie producenta, to nawet po zakończeniu sprzedaży pozostają zdolne do obsługi kompatybilnych urządzeń.

Konsekwencje / ryzyko

Z perspektywy bezpieczeństwa informacji taki incydent oznacza ryzyko znacznie szersze niż utrata prywatności jednej osoby. Telefon zawiera nie tylko wiadomości i pliki, ale również kontakty, historię relacji, metadane i ślady aktywności, które pozwalają odtworzyć całą sieć powiązań użytkownika.

To tworzy zagrożenie na kilku poziomach:

  • dla właściciela urządzenia, którego dane mogą zostać wykorzystane procesowo lub operacyjnie,
  • dla jego kontaktów, których dane również mogą zostać ujawnione,
  • dla organizacji społecznych, redakcji i środowisk opozycyjnych, których struktura komunikacyjna może zostać zmapowana.

Dla producentów technologii śledczych sprawa oznacza także ryzyko reputacyjne i regulacyjne. Samo embargo sprzedażowe może zostać uznane za niewystarczające, jeśli wcześniej wdrożone rozwiązania pozostają aktywne bez skutecznych mechanizmów wygaszania lub zdalnego unieważniania.

Rekomendacje

Organizacje działające w podwyższonym ryzyku, w tym redakcje, NGO, aktywiści i prawnicy, powinny uwzględniać fizyczne przejęcie urządzenia jako podstawowy scenariusz zagrożenia.

  • Stosować silne hasła alfanumeryczne zamiast krótkich kodów PIN.
  • Regularnie aktualizować systemy operacyjne i aplikacje.
  • Włączać dodatkowe tryby ochrony, takie jak zaawansowane funkcje bezpieczeństwa dostępne na nowoczesnych smartfonach.
  • Wyłączać urządzenie przed przekroczeniem granicy lub w sytuacjach podwyższonego ryzyka konfiskaty.
  • Na komputerach obowiązkowo aktywować szyfrowanie pełnodyskowe.
  • Minimalizować ilość wrażliwych danych przechowywanych lokalnie.
  • Po odzyskaniu zajętego urządzenia przyjąć założenie kompromitacji i przeprowadzić rotację haseł, tokenów oraz sesji.

Podsumowanie

Przypadek użycia Cellebrite wobec iPhone’a rosyjskiego aktywisty pokazuje, że ograniczenia handlowe nie zawsze przekładają się na utratę zdolności operacyjnych przez wcześniejszych odbiorców technologii. Jeśli narzędzia forensic zostały już wdrożone i działają bez stałej zależności od producenta, mogą nadal służyć do ekstrakcji danych z przejętych urządzeń.

Dla środowiska cyberbezpieczeństwa to wyraźny sygnał, że model zagrożenia powinien obejmować nie tylko ataki zdalne i malware, ale również analizę urządzeń po ich fizyczznej konfiskacie. W praktyce kluczowe pozostają silne uwierzytelnianie, szyfrowanie, aktualizacje, minimalizacja danych oraz procedury reagowania po odzyskaniu sprzętu.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/06/russia-used-cellebrite-on-jailed.html
  2. Citizen Lab — Russia Used Cellebrite to Unlock a Jailed Russian Activist’s Phone After It Stopped Sales in Russia — https://citizenlab.ca/2026/06/russia-used-cellebrite-to-unlock-a-jailed-russian-activists-phone-after-it-stopped-sales-in-russia/
  3. Cellebrite — Cellebrite Statement Regarding Sales to Russia and Belarus — https://cellebrite.com/en/cellebrite-statement-regarding-sales-to-russia-and-belarus/
  4. Human Rights Watch — Russia: Opposition Activist Removed From Plane, Detained — https://www.hrw.org/news/2021/06/01/russia-opposition-activist-removed-plane-detained