Điện thoại Android của sinh viên Serbia bị xâm phạm do khai thác từ Cellebrite

Tác giả tanthanh 14/02/2026 9 phút đọc

Tổ chức Ân xá Quốc tế hôm thứ Sáu cho biết họ xác định rằng một khai thác zero-day được bán bởi nhà cung cấp khai thác gây tranh cãi Cellebrite đã được sử dụng để thỏa hiệp điện thoại của một sinh viên Serbia, người đã chỉ trích chính phủ nước đó.

Tổ chức nhân quyền lần đầu tiên kêu gọi chính quyền Serbia vào tháng 12 vì những gì họ nói là việc sử dụng phần mềm gián điệp “phổ biến và thường xuyên như một phần của chiến dịch ” kiểm soát và đàn áp nhà nước rộng rãi hơn nhằm vào xã hội dân sự.“ Báo cáo đó cho biết chính quyền đang triển khai các khai thác được bán bởi Cellebrite và NSO, một người bán khai thác riêng biệt mà các hoạt động của họ cũng bị chỉ trích gay gắt trong thập kỷ qua. Đáp lại báo cáo tháng 12, Cellebrite cho biết họ đã đình chỉ bán hàng cho “khách hàng liên quan” ở Serbia.

Chiến dịch giám sát

Hôm thứ Sáu, Tổ chức Ân xá Quốc tế cho biết họ đã phát hiện ra bằng chứng về một vụ việc mới. Nó liên quan đến việc Cellebrite bán một chuỗi tấn công có thể đánh bại màn hình khóa của các thiết bị Android được vá hoàn toàn. Chiến công này được sử dụng để chống lại một sinh viên Serbia từng chỉ trích các quan chức Serbia. Chuỗi này đã khai thác một loạt lỗ hổng trong trình điều khiển thiết bị mà nhân Linux sử dụng để hỗ trợ phần cứng USB.

“Trường hợp mới này cung cấp thêm bằng chứng cho thấy chính quyền ở Serbia đã tiếp tục chiến dịch giám sát xã hội dân sự sau báo cáo của chúng tôi, bất chấp những lời kêu gọi cải cách rộng rãi, từ cả bên trong Serbia và xa hơn nữa, cũng như một cuộc điều tra về việc lạm dụng quyền lợi của họ. sản phẩm của nó, được công bố bởi Cellebrite, các tác giả của báo cáo đã viết.

Tổ chức Ân xá Quốc tế lần đầu tiên phát hiện ra bằng chứng về chuỗi tấn công vào năm ngoái khi đang điều tra một vụ việc riêng biệt bên ngoài Serbia liên quan đến cùng một đường tránh màn hình khóa Android. Các tác giả của báo cáo hôm thứ Sáu viết:

Việc khai thác, nhắm mục tiêu trình điều khiển USB nhân Linux, cho phép khách hàng Cellebrite có quyền truy cập vật lý vào thiết bị Android bị khóa để vượt qua màn hình khóa của điện thoại Android và có quyền truy cập đặc quyền trên thiết b. Vì việc khai thác nhắm vào trình điều khiển USB nhân Linux cốt lõi nên tác động không chỉ giới hạn ở một thiết bị hoặc nhà cung cấp cụ thể và có thể ảnh hưởng đến nhiều loại thiết bị. Các lỗ hổng tương tự cũng có thể khiến máy tính Linux và các thiết bị nhúng được hỗ trợ bởi Linux bị tấn công vật lý, mặc dù không có bằng chứng nào về chuỗi khai thác này được thiết kế để nhắm mục tiêu vào các thiết bị Linux không phải Android.

Báo cáo cho biết một trong những lỗ hổng, được theo dõi là CVE-2024-53104, đã được vá vào đầu tháng này với việc phát hành Bản tin bảo mật Android tháng 2 năm 2025. Hai lỗ hổng khác—CVE-2024-53197 và CVE-2024-50302—đã được vá ngược dòng trong nhân Linux nhưng chưa được tích hợp vào Android.

Dấu vết pháp y được xác định trong phân tích của Tổ chức Ân xá Quốc tế về chiếc điện thoại bị xâm nhập cho thấy chính quyền Serbia đã cố gắng cài đặt một ứng dụng không xác định sau khi thiết bị đã được mở khóa. Các tác giả báo cáo cho biết việc cài đặt ứng dụng trên các thiết bị bị xâm phạm Cellebrite phù hợp với các trường hợp trước đó mà nhóm đã phát hiện ra trong đó phần mềm gián điệp được theo dõi là phần mềm gián điệp NoviSpy đã được cài đặt.

Là một phần của cuộc tấn công, cổng USB của điện thoại được nhắm mục tiêu đã được kết nối với nhiều thiết bị ngoại vi khác nhau trong giai đoạn đầu. Trong các giai đoạn sau, các thiết bị ngoại vi được kết nối nhiều lần với điện thoại để chúng có thể “tiết lộ bộ nhớ kernel và bộ nhớ kernel chú rể như một phần của quá trình khai thác.” Những người phân tích điện thoại cho biết các thiết bị ngoại vi có khả năng là các thiết bị có mục đích đặc biệt mô phỏng các thiết bị video hoặc âm thanh kết nối với thiết bị được nhắm mục tiêu.

Người phát ngôn của Google đã đưa ra tuyên bố sau:

Chúng tôi đã nhận thức được các lỗ hổng và rủi ro khai thác này trước các báo cáo này và kịp thời phát triển các bản sửa lỗi cho Android. Các bản sửa lỗi đã được chia sẻ với các đối tác OEM trong tư vấn đối tác vào ngày 18 tháng 1. Các CVE này cũng sẽ được đưa vào Bản tin bảo mật Android trong tương lai và được yêu cầu bởi Cấp bản vá bảo mật Android (SPL). Như một phương pháp bảo mật tốt nhất, chúng tôi luôn khuyên người dùng cập nhật thiết bị của họ ngay khi có bản vá bảo mật hoặc bản cập nhật phần mềm.

Sinh viên 23 tuổi sở hữu điện thoại thường xuyên tham gia các cuộc biểu tình của sinh viên đang diễn ra ở Belgrade. Bất kỳ người dùng Android nào chưa cài đặt lô bản vá tháng 2 nên thực hiện càng sớm càng tốt.