La Russia ha violato l'iPhone di un attivista con Cellebrite, mesi dopo che l'azienda ha dichiarato di essersene andata.

      Un rapporto del Citizen Lab mette prove forensi e un documento di un tribunale russo dietro a un problema familiare: gli strumenti di sorveglianza non tornano a casa quando il venditore lo chiede. Un'unità del governo russo ha violato l'iPhone di un politico dell'opposizione detenuto utilizzando uno strumento forense prodotto da Cellebrite, tre mesi dopo che l'azienda israeliana aveva annunciato pubblicamente di aver smesso di vendere a Mosca. Il dettaglio che rende il caso significativo non è l'hack stesso, ma la traccia cartacea: il governo ha annotato ciò che ha fatto. I ricercatori del Citizen Lab, il gruppo per i diritti digitali dell'Università di Toronto, hanno dichiarato di aver trovato prove forensi che un'unità investigativa russa ha utilizzato lo strumento di cracking telefonico di Cellebrite, UFED, sull'iPhone di Andrey Pivovarov nel giugno 2021. Le autorità avevano detenuto Pivovarov, allora direttore del gruppo di opposizione ormai scomparso Open Russia, e confiscato il suo iPhone 12 e MacBook nel maggio di quell'anno. Nel marzo 2021, Cellebrite aveva annunciato che avrebbe "immediatamente" smesso di vendere la propria tecnologia ai clienti governativi russi e bielorussi. L'azienda ha anche dichiarato che quando interrompe i legami, può impedire a un dispositivo di funzionare o ricevere aggiornamenti. In questo caso, secondo il racconto del Citizen Lab, non lo ha fatto. Pivovarov ha fornito ai ricercatori un documento del tribunale della sua stessa accusa. In esso, il Centro Esperti Criminalisti della Russia ha descritto l'uso di Cellebrite UFED per estrarre dati dal suo telefono, inclusi messaggi di WhatsApp e Telegram, e cercare nel dispositivo termini politici e nomi di figure dell'opposizione. È una cosa rara per un governo presentare, per iscritto, la marca e il modello dello strumento utilizzato per sorvegliare un dissidente. Cellebrite, che vende a governi in tutto il mondo e mantiene una seconda sede in Virginia, non ha contestato che lo strumento sia stato utilizzato. Il suo chief marketing officer, David Gee, ha detto al Citizen Lab in un'email condivisa con TechCrunch che l'azienda "ha fermato tutte le vendite e i servizi alla Federazione Russa nel marzo 2021, terminando le licenze esistenti," e che "qualsiasi uso dell'hardware legacy di Cellebrite in Russia dopo marzo 2021 è completamente non autorizzato." Gee e un portavoce dell'azienda non hanno risposto a una serie di domande più specifiche. Quel divario, tra la rescissione di un contratto e il recupero di una macchina funzionante, è il punto su cui i ricercatori insistono. "Non è sorprendente, ed è il risultato delle politiche di Cellebrite," ha detto Eitay Mack, un avvocato israeliano per i diritti umani che da tempo fa campagne contro gli esportatori di tecnologia di sorveglianza del paese. Mack ha notato che Cellebrite non dirà se chiede ai clienti di smontare gli strumenti dopo la fine di un rapporto. John Scott-Railton, un ricercatore senior del Citizen Lab, ha sostenuto che l'azienda dovrebbe andare oltre, disabilitando da remoto le distribuzioni dopo rapporti credibili di abusi e marchiando i dati estratti in modo che possano essere tracciati a un dispositivo specifico. In termini semplici, Cellebrite dovrebbe essere in grado di bloccare le proprie macchine e timbrare la loro produzione, ponendo fine a ciò che Scott-Railton ha definito un'era di plausibile negazione. Il modello non è nuovo. I ricercatori hanno documentato strumenti di Cellebrite attivati su dissidenti, attivisti e giornalisti a Hong Kong, Kenya e Giordania, e l'azienda ha da allora interrotto i legami con clienti tra cui Bangladesh, Myanmar e, all'inizio di quest'anno, Serbia. Il caso russo aggiunge l'imbarazzante complicazione che il cliente era suppostamente già scomparso. Pivovarov è stato condannato a quattro anni di prigione ed è stato liberato nell'agosto 2024 nello scambio di prigionieri che ha anche restituito il reporter del Wall Street Journal Evan Gershkovich. L'ambasciata russa a Washington non ha risposto a una richiesta di commento.