Cellebrite stänger av serbisk polis efter spionanklagelser men duckar när Kenya och Jordanien pekas ut

Det israeliska företaget Cellebrite, som säljer verktyg för mobiltelefonforensik, uppger att man stoppat den serbiska polisen som kund efter anklagelser om att myndigheterna använt företagets upplåsningsverktyg för att ta sig in i en journalists och en aktivists telefoner och därefter plantera spionprogram. Beslutet, som först offentliggjordes i fjol och uttryckligen kopplades till en teknisk rapport från Amnesty International, har lyfts fram som bevis för att övervakningsbranschen kan reglera sig själv – åtminstone när den mediala vinsten är tillräckligt stor.

Men en ny genomgång i TechCrunch av färska fall antyder att berättelsen om ”etik” är selektiv. Denna vecka rapporterade Citizen Lab vid Torontos universitet att kenyanska myndigheter sannolikt använde verktyg med koppling till Cellebrite för att låsa upp telefonen till aktivisten och politikern Boniface Mwangi medan han satt i polisförvar. Citizen Lab säger sig ha funnit spår av en särskild tillämpning som förknippas med Cellebrite i telefonen, och att indikationen är ”med hög säkerhet” eftersom tillämpningen tidigare setts i VirusTotal och var undertecknad med digitala certifikat som ägs av Cellebrite. Citizen Lab framförde i januari liknande påståenden om Jordanien och hävdade att aktivisters telefoner där hade öppnats med verktyg relaterade till Cellebrite.

Cellebrites svar har samtidigt rört sig från offentlig ånger till ett dimmigt hänvisande till rutiner. I Serbienfallet hänvisade företaget till det externa bevisläget och stängde av kunden – en ovanligt offentlig sanktion i en marknad där leverantörer av så kallad laglig åtkomst normalt undviker att namnge sina kunder. I fallen Kenya och Jordanien ville Cellebrite däremot inte binda sig vid att utreda och ifrågasatte i stort beviskraven. En talesperson sade till TechCrunch att ”hög säkerhet inte är direkta bevis” och kallade situationerna i Serbien och Kenya ”inte jämförbara”, samtidigt som företaget uppgav att man inte kommenterar ”spekulation”. Enligt Citizen Labs John Scott-Railton kontaktade forskarna Cellebrite före publicering i båda fallen; i Kenya bekräftade företaget mottagandet men gav ingen saklig kommentar.

Det besvärliga är att Cellebrites affärsmodell inte bygger på ett missförstånd: man säljer intrångsförmåga till stater. Företaget uppger sig ha fler än 7 000 brottsbekämpande kunder världen över, vilket också betyder att man tjänar pengar på att myndigheter kan beslagta telefoner, framtvinga åtkomst eller helt enkelt göra vad de vill när någon sitter i förvar. Samma verktyg som marknadsförs för ”lagliga utredningar” möjliggör också snabb massutläsning av privat data – kontakter, meddelanden, platsuppgifter – ofta utan någon meningsfull prövning mellan parter. Huruvida en sådan utläsning är ”missbruk” avgörs ofta i efterhand av frivilligorganisationer och forensiska forskare, inte av inköpsblanketter.

Cellebrite har tidigare stängt av kunder i Bangladesh och Myanmar och upphörde 2021 att sälja till Ryssland och Belarus. TechCrunch noterar också att företaget sagt sig ha stoppat försäljning till Hongkong och Kina efter amerikanska exportrestriktioner. De besluten framstår mindre som en moralisk uppenbarelse än som en kalkyl där regelefterlevnad och anseende vägs: blockera de politiskt radioaktiva kunderna, förneka problemen hos resten och håll försäljningsmaskineriet igång.

Om Cellebrite vill hävda att man faktiskt upprätthåller villkor kopplade till mänskliga rättigheter, menar Citizen Lab att företaget bör publicera vilka kriterier som används för att godkänna försäljning och redovisa hur ofta licenser dras in. Tills dess förblir ”noggrann granskning” vad den alltid varit i denna bransch: en paroll som fungerar väl i pressmeddelanden och dåligt i polisstationer.