Amnesty International menemukan bukti forensik yang menunjukkan bagaimana pihak berwenang Serbia menggunakan produk Cellebrite untuk memungkinkan infeksi spyware NoviSpy pada ponsel para aktivis. Selain itu, pihak berwenang Serbia juga menggunakan Cellebrite untuk mengeksploitasi kerentanan zero-day, yang memengaruhi jutaan perangkat Android di seluruh dunia yang menggunakan chipset Qualcomm yang populer.
Polisi Serbia menggunakan eksploitasi Cellebrite UFED untuk menerobos mekanisme keamanan perangkat Android dan memasang spyware NoviSpy secara diam-diam selama wawancara polisi. Pada kasus tertentu, pihak berwenang menggunakan Cellebrite untuk mengeksploitasi kerentanan zero-day, yang memengaruhi jutaan perangkat Android di seluruh dunia.
Dalam kasus yang dijabarkan dalam laporan Amnesty International, seorang jurnalis investigasi independen Serbia, Slaviša Milanov, dan seorang aktivis lingkungan, Nikola Risti, menjadi korban dari tindakan pengawasan ini. Bukti forensik yang ditemukan menunjukkan bahwa produk Cellebrite digunakan untuk membuka kunci ponsel mereka secara diam-diam selama penahanan, dan NoviSpy kemudian digunakan oleh otoritas Serbia untuk menginfeksi ponsel mereka.
Respons atas laporan Amnesty International, Cellebrite menyatakan bahwa mereka tidak melakukan instalasi malware atau pengawasan real-time seperti spyware. Mereka juga menyatakan bahwa produk-produk tersebut disertai dengan persyaratan lisensi yang ketat serta memerlukan surat perintah atau persetujuan untuk digunakan dalam penyelidikan yang disetujui secara hukum setelah kejahatan terjadi. Cellebrite juga menyatakan bahwa mereka sedang menyelidiki tuduhan yang dilaporkan dalam laporan tersebut.
