In einem beachtlichen Blog-Posting teilen die Macher hinter Signal mit, man habe die IT-Forensische Software von Cellebrite gehackt. Doch man belässt es nicht dabei, sondern formuliert einen durchdachten und mehr oder minder subtilen Angriff auf Cellebrite, der nicht ignoriert bleiben dürfte.
Sicherheitlücken in Cellebrite?
Wirklich beachtlich ist es, wenn man liest, dass angeblich festgestellt wurde, dass es möglich ist, „beliebigen Code“ auf einer Cellebrite-Maschine auszuführen, indem man einfach eine speziell formatierte, aber ansonsten harmlose Datei in eine beliebige App auf einem Gerät einfügt – welches dann anschließend an Cellebrite angeschlossen und gescannt wird. Dem ausführbaren Code sind praktisch angeblich keine Grenzen gesetzt:
Durch Einfügen einer speziell formatierten, aber ansonsten harmlosen Datei in eine App auf einem Gerät, das dann von Cellebrite gescannt wird, ist es beispielsweise möglich, Code auszuführen, der nicht nur den Cellebrite-Bericht, der bei diesem Scan erstellt wird, sondern auch alle vorherigen und zukünftigen generierten Cellebrite-Berichte von allen zuvor gescannten Geräten und allen zukünftigen gescannten Geräten auf beliebige Weise ändert (Einfügen oder Entfernen von Text, E-Mails, Fotos, Kontakten, Dateien oder anderen Daten), ohne erkennbare Zeitstempeländerungen oder Prüfsummenfehler. Dies könnte sogar willkürlich geschehen und würde die Datenintegrität der Berichte von Cellebrite ernsthaft in Frage stellen.
Jede App könnte eine solche Datei enthalten, und bis Cellebrite in der Lage ist, alle Schwachstellen in seiner Software mit extrem hoher Sicherheit zu reparieren, besteht die einzige Abhilfe, die ein Cellebrite-Benutzer hat, darin, Geräte nicht zu scannen.
Frei Übersetzt aus dem Blogposting von Signal
Nun sollte dies durchaus aufschrecken – jedenfalls die Ermittler, die hier mit diesen angeblich bestehenden Sicherheitslücken im Einsatz der Tools die eigene Infrastruktur gefährden. Im Blog-Posting findet sich dazu ein recht erschreckendes Video mit beispielhafter Darstellung.
Angekündigter Angriff!
Doch damit nicht genug, recht unverhohlen kündigt man bei Signal an, Dateien an bestehende Nutzer auszuspielen, die keine Funktion haben und nur schön aussehen – offenkundig spielt man darauf an, zukünftig Nutzer von Signal zu präparieren um Cellebrite-Ausleseversuche zu unterminieren:
In completely unrelated news, upcoming versions of Signal will be periodically fetching files to place in app storage. These files are never used for anything inside Signal and never interact with Signal software or data, but they look nice, and aesthetics are important in software. Files will only be returned for accounts that have been active installs for some time already, and only probabilistically in low percentages based on phone number sharding. We have a few different versions of files that we think are aesthetically pleasing, and will iterate through those slowly over time. There is no other significance to these files.
Copyright Probleme?
Des Weiteren möchte man Copyright-probleme festgestellt haben, weil das „Cellebrite iOS Advanced Logical-Tool“ laut dortiger Analyse angeblich Apple-DLLs mitliefern und deren Funktionalität ausnutzen soll, um Daten von iOS-Mobilgeräten zu extrahieren. Mit einem Screenshot wird insoweit untermauert, dass wohl Apple-DLLs in den Prozess „UFED iPhone Logical.exe“ geladen werden, welcher der Prozessname des iOS Advanced Logical-Tools ist. Daran knüpfen sich dann Vorhalte:
It seems unlikely to us that Apple has granted Cellebrite a license to redistribute and incorporate Apple DLLs in its own product, so this might present a legal risk for Cellebrite and its users.
Fazit
Es ist nicht das erste Mal, dass es Schlagzeilen um das Thema Sicherheit bei Cellebrite gibt. Gerade der bisher von der Presse so nicht aufgegriffene Copyright-Aspekt dürfte ein erhebliches Nachspiel haben, sei es in Richtung der Signal-Macher und/oder zwischen Cellebrite und anderen Akteuren. Behörden dürften mit einem gewissen Argwohn auf die ganze Geschichte blicken und genau beobachten was weiter geschieht. Jedenfalls für Signal dürfte es sich als Werbeaktion durchaus gelohnt haben wenn man auf die weitere Aufmerksamkeit achtet.
Vielleicht werden solche Vorfälle irgendwann einmal dazu führen, dass die von Behörden eingesetzte Forensische Software von der Öffentlichkeit stärker kontrolliert wird – zu wenige wissen um die Probleme in diesem Bereich und was bei der Polizei hinter verschlossenen Türen vor sich geht. Nutzer von smarten Geräten jedenfalls seien gewarnt: Ein „sicher“ in diesem Bereich gibt es nicht, wer glaubt, dass seine Daten sicher aufbewahrt sind, alleine weil er ein neuestes Gerät mit neuester Software einsetzt, wird regelmässig böse überrascht; nicht zuletzt, weil bei der langen Verfahrensdauer in Deutschland das Risiko zu sehen ist, dass ein neuer Exploit auftaucht, den Anbieter wie Cellebrite direkt umsetzen und an ihre Kunden ausspielen.
- Digitale Beweissicherung nach einem Cyber-Incident – So schützen Unternehmen ihre Daten und Beweise - 31. Oktober 2024
- Car-Forensik - 25. Oktober 2024
- Quick-Freeze: Gesetzentwurf 2024 - 24. Oktober 2024