[Draalz]

Zitat:

Sicherheitslücken

Messenger Signal hackt Forensik-Tool des FBI

Cellebrite verkauft Software an [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und Diktaturen und behauptet, [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
gehackt zu haben. Jetzt haben die Signal-Macher Cellebrite gehackt.

22. April 2021, 11:53 Uhr, [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Der Physical Analyzer von Cellebrite wurde gehackt.

Nachdem der Forensik-Software-Hersteller Cellebrite im vergangenen Jahr großspurig und vor allem falsch verkündet hatte, dass er den Messenger Signal hacken könne, kommt nun die Retourkutsche: Signals Hauptentwickler Moxie Marlinspike konnte die Cellebrite-Software hacken. Die Sicherheitslücken sind dabei so schwerwiegend, dass die forensischen Ergebnisse einer aktuellen sowie vergangener und zukünftiger Untersuchungen manipuliert werden können. Eine entsprechende Funktion solle in den Messenger Signal eingebaut werden, erklärte Marlinspike.

Die Software von Cellebrite richtet sich an Regierungen und Polizei, darunter auch autoritäre Regime, die Journalisten und Aktivisten mit der Software verfolgen. Diese können mit den Programmen UFED und Physical Analyzer Smartphones forensisch auslesen und aufbereiten. Voraussetzung dazu ist, dass die Behörden physischen Zugriff auf ein Smartphone erhalten - im entsperrten Zustand.

Der Signal-Hack, der keiner war

"Als Cellebrite ankündigte, dass es seine Software um Signal-Unterstützung erweitert hat, bedeutete dies eigentlich nur, dass es Physical-Analyzer-Unterstützung für die von Signal verwendeten Dateiformate hinzugefügt hat", [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Und kommentiert damit lakonisch, was es mit dem angeblichen Signal-Hack auf sich hatte.

"Dies ermöglicht es Physical Analyzer, die Signaldaten anzuzeigen, die von einem entsperrten Gerät im physischen Besitz des Cellebrite-Benutzers extrahiert wurden." Unter diesen Voraussetzungen könnte ein Eindringling jedoch auch einfach die Signal-App - oder jede andere App - öffnen und die Nachrichten dort lesen und gegebenenfalls Bildschirmfotos erstellen.

Cellebrite nutzt neun Jahre alte Ffmpeg-Bibliothek mit zahlreichen Sicherheitslücken

Die Software von Cellebrite bereitet die Daten jedoch auf, entsprechend lassen diese sich einfacher analysieren. Damit dies gelingt, muss der Physical Analyzer eine Vielzahl von unterschiedlichen Formaten aus einer nicht vertrauenswürdigen Quelle - beispielsweise einem beschlagnahmten Smartphone - verarbeiten. Ein klassisches Einfallstor für Schadsoftware, wie beispielsweise diverse Sicherheitslücken in dem [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] oder [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ], die ihrerseits eine Vielzahl von Dateiformaten analysieren muss.

Um Mediendaten anzeigen zu können, nutzt Cellebrite auch die Open-Source-Bibliothek Ffmpeg. Allerdings in einer Version aus dem Jahr 2012, die Cellebrite seitdem nicht aktualisiert hat. "In dieser Zeit gab es über hundert Sicherheitsupdates, von denen keines eingespielt wurde", schreibt Marlinspike.

"Dem ausführbaren Code sind praktisch keine Grenzen gesetzt"

Mit speziell präparierten Dateien, die die Software aus einem Smartphone auslesen, lassen sich die Sicherheitslücken ausnutzen und beliebiger Code auf dem Cellebrite-Rechner ausführen. Dabei seien dem ausführbaren Code praktisch keine Grenzen gesetzt, erklärt Marlinspike. In einem Proof-of-Concept-Video wird das Vorgehen demonstriert.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Damit könne nicht nur die aktuelle forensische Analyse eines Smartphones manipuliert werden, sondern auch die Cellebrite-Berichte aller zuvor oder zukünftig gescannten Geräte, heißt es in dem Blogeintrag. Beispielsweise lassen sich Texte, E-Mails, Fotos, Kontakte, Dateien oder andere Daten einfügen oder entfernen, ohne dass sich die Änderung über einen Zeitstempel oder eine Prüfsumme erkennen lässt.

Das stelle die Glaubwürdigkeit der Berichte von Cellebrite ernsthaft infrage, da jede App eine solche präparierte Datei enthalten könne, schreibt Marlinspike. Entsprechend fragwürdig dürfte der Einsatz solcher Berichte als Beweismittel vor Gericht sein.

Signal will zukünftig Cellebrite hacken

Zudem kündigte Marlinspike an, dass die kommende Version von Signal regelmäßig solche Dateien abrufen und im Appspeicher ablegen wird. "Diese Dateien werden nie für irgendetwas innerhalb von Signal verwendet und interagieren nie mit Signal-Software oder -Daten, aber sie sehen schön aus, und Ästhetik ist bei Software wichtig", schreibt Marlinspike gewitzt.

"Wir sind natürlich bereit, die spezifischen Schwachstellen, von denen wir wissen, verantwortungsvoll gegenüber Cellebrite offenzulegen", schreibt Marlinspike. Allerdings werde man dies nur unter der Bedingung tun, dass Cellebrite auch alle Schwachstellen an die jeweiligen Hersteller meldet, die sie für ihre Software und Dienste verwendet - jetzt und in Zukunft.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Uwe Farz]

Signal ist mein bevorzugtes Medium, um mit meinen Kindern und Kindeskindern in Deutschland zu kommunizieren. Daher ein dickes "Danke" für den Hinweis!