Ein Team unter der Leitung des Signal-Gründers Moxie Marlinspike hat die Software untersucht, mit der die Polizei in Ihr Smartphone einbricht. Sie haben gravierende Sicherheitslücken und möglicherweise unrechtmäßige Strategien gefunden.
Moxie Marlinspike, der Schöpfer von Signal und ein White-Hat-Hacker, behauptet in einem Blogbeitrag, in dem er für seinen Kommunikator Signal wirbt, dieser sei aus dem Nichts entstanden (Google Android und Apple iOS). Er bezieht sich dabei auf ein Analysekit des Softwareunternehmens Cellebrite, das für viel Aufsehen gesorgt hat. Moxie und seine Gruppe haben die Software gründlich untersucht. Dabei haben sie einige erhebliche Sicherheitslücken entdeckt. Signal droht nun, diese Lücken zu seinem Vorteil zu nutzen.
Cellebrite ist ein israelisches Softwareunternehmen mit Sitz in Petah Tikva. Das 1999 von Avi Yablonka, Yaron Baratz und Yuval Aflalo gegründete Unternehmen ist bekannt für seine Expertise bei der Überwachung und Verwaltung mobiler Geräte. Polizei und Behörden auf der ganzen Welt verlassen sich auf ihre Softwareprodukte “Physical Analyzer” und “UFED”. Theoretisch können Sie dieses Programm nicht in die Hände bekommen, und seine Funktionsweise bleibt ein Geheimnis. Die Datenextraktion und die Suchvorgänge auf dem Smartphone werden durch den Physical Analyzer und das UFED ermöglicht. Moxie Marlinspike erklärt, dass ein Cellebrite-Benutzer in den Besitz des Ziel-Smartphones gelangen muss, damit dies möglich ist. Cellebrite macht es unmöglich, über das Internet oder Mobilfunknetze auf Informationen zuzugreifen.
Cellebrite ist eine Marke, die mit autoritären Regimen verbunden ist, die keinen großen Wert auf individuelle Freiheiten legen. Autoritäre Regime in Weißrussland, Russland, Venezuela und China gehören ebenso zu den Kunden von Cellebrite wie Todesschwadronen in Bangladesch und Militärjuntas in Myanmar sowie Regime in der Türkei, den Vereinigten Arabischen Emiraten und anderen Ländern, die ihre Bürger misshandeln und unterdrücken wollen, wie Moxie berichtet. Das israelische Unternehmen hatte zuvor erklärt, dass Cellebrite die Signal-App unterstützen würde. Moxie versicherte seinen Kunden schnell, dass Cellebrite nicht in der Lage sei, ihre verschlüsselte Kommunikation zu entschlüsseln. Der Artikel war kurz und bündig und fasste den Prozess “App öffnen, Nachrichten anzeigen” zusammen, der von Cellebrite auf einem nicht gesperrten Smartphone automatisiert wurde.
Sie müssen einige Begriffe und Ideen verstehen, um zu begreifen, was Moxie Marlinspike erreicht hat und warum kein Rechtssystem die Software von Cellebrite in gutem Glauben als Beweismittel verwenden kann oder sollte.
UFED
UFED ist ein Programm von Cellebrite. Es behauptet, die PIN, Muster und Passwörter von gesperrten Geräten auf “legale” Weise zu umgehen. Mehrere Datenerfassungsprozesse sollen die “rechtmäßig” gesammelten Daten kontextualisieren und zusätzliche Informationen aus den entdeckten Daten zusammensetzen. Zu diesem Zweck soll UFED “rechtmäßigen” Zugang zu bis zu 40 Anwendungen haben. In seiner grundlegendsten Form ist es eine Backup-Software. Cellebrite möchte, dass Sie wissen, dass alle seine Aktionen legal sind. Auf Wunsch wird UFED auf robusten Laptops von Panasonic vorinstalliert. Dies geschieht, um das mobile Abgreifen von Daten zu erleichtern.
Physikalischer Analyzer
Die Softwarebibliothek von Cellebrite umfasst auch den Physical Analyzer. Er interpretiert die Informationen, die UFED gesammelt hat, und stellt sie grafisch dar. Moxie nennt es ein “Frontend für adb-Backup”, was bedeutet, dass es eine hübsche Möglichkeit ist, zu zeigen, dass etwas gesichert wurde. Die Daten Ihres Smartphones müssen für den physischen Analysator zugänglich sein, das heißt, er muss Lesezugriff haben. Der Zugriff auf den Schreibmodus ist optional, aber inbegriffen. Auf Wunsch kann Physical Analyzer mit einer individuell konfigurierten Workstation ausgeliefert werden, auf der das Programm bereits geladen ist. Dies sollte die Zeit, die für die Verarbeitung der von UFED gebrochenen Daten benötigt wird, reduzieren. UFED und Physical Analyzer werden häufig zusammen verkauft. Es ist ungewöhnlich, dass eine Regierung oder ein Regime UFED kauft, ohne auch einen Physical Analyzer zu bestellen. Am besten kann man es als eine Spionageversion der Microsoft Office-Suite beschreiben.
ffmpeg
ffmpeg kann von jedermann kostenlos heruntergeladen und verwendet werden. Seit seiner Entwicklung im Jahr 2000 haben andere Softwareunternehmen ffmpeg erweitert und in Dutzende ihrer eigenen Projekte integriert. ffmpeg hat viele Einsatzmöglichkeiten, darunter Videokonvertierung, Trimmen und Audiobearbeitung. Auf dem Gebiet der Computersicherheit hat sich ffmpeg den Ruf erworben, zahlreiche Schwachstellen umgehend offenzulegen und zu beheben. Auch wenn es viele Sicherheitslücken gibt, bedeutet dies nicht, dass die Software unbedingt gefährlich ist. Ganz sicher nicht! Vielmehr ist es ein Beleg für die offene und kooperative Natur des Entwicklungsprozesses des ffmpeg-Projekts. Es gibt jetzt 355 bekannte Schwachstellen, die in der MITRE-Liste dokumentiert sind. Im Prinzip sollten sie alle gepatcht werden. Wenn Sie sich auf ffmpeg verlassen, sollten Sie immer die aktuellste Version des Programms verwenden.
Ausführung von willkürlichem Code
Eine von Cyberkriminellen angewandte Taktik ist die Ausführung beliebigen Codes, auch bekannt als Arbitrary Code Injection. Indem er eine Sicherheitslücke ausnutzt, kann ein Hacker ein Programm dazu zwingen, bösartigen Code auszuführen. Je nachdem, wie er geschrieben ist, kann der Code alles Mögliche tun, von der bloßen Anzeige einer Fehlermeldung bis hin zum Diebstahl vertraulicher Informationen wie Passwörter und Kreditkartennummern. Dieses erfundene Alphabet wird manchmal auch als “besonderer Code” bezeichnet. In der Fachsprache heißt das, dass er in einer “unerwarteten Weise” formatiert ist. Dies geschieht, wenn das anfällige Programm Daten empfängt, für deren Verarbeitung es nicht vorgesehen ist, und dadurch ein fehlerhaftes Verhalten zeigt. Ich gebe Ihnen ein Beispiel: Wenn Sie eine Art Code in ein Suchfeld eingeben, sehen Sie eine Fehlermeldung.
Zuverlässige/unzuverlässige Quellen
Im Zusammenhang mit Computerprogrammen beschreibt der Begriff “vertrauenswürdige” oder “nicht vertrauenswürdige” Quellen die Zuverlässigkeit einer bestimmten Informationsquelle. Damit Programme A und B miteinander kommunizieren können, muss ein gegenseitiges Vertrauen bestehen. Programme stimmen im Allgemeinen überein: “Ja, ich vertraue darauf, dass du mit meinen Daten nichts Böses anstellst”, was eine vernünftige Annahme ist. Software A kann ihre Daten einer anderen Software anvertrauen, der sie nicht völlig vertraut. Deshalb nennen wir sie “unzuverlässige” oder “zwielichtige” Quellen. Im Allgemeinen machen Smartphone-Nutzer am meisten Gebrauch von der Dichotomie vertrauenswürdige/unvertrauenswürdige Quelle. Apps, die aus dem App Store heruntergeladen werden, können als sicher angesehen werden. Die Quelle ist verdächtig, wenn Sie sie per Sideload installieren, was bedeutet, dass Sie sie selbst installiert oder aus einem inoffiziellen Store bezogen haben. Sofern nicht vom Benutzer autorisiert, lässt Software oft keine Kommunikation mit unbekannten oder nicht vertrauenswürdigen Quellen zu.
In der Moxie-Studie wurden mehrere Schwachstellen entdeckt. Hier sind zwei Faktoren im Spiel:
- Die Sicherheit der Cellebrite-eigenen Software scheint keine hohe Priorität zu haben.
- Sämtliche Hard- und Software erkennt die Spyware von Cellebrite als “nicht vertrauenswürdig”. Dies ist darauf zurückzuführen, dass UFED und Physical Analyzer selbst auf einer grundlegenden Ebene als “nicht vertrauenswürdig” arbeiten müssen. Da unautorisierte Backups und Entschlüsselung keine Funktionen sind, die die Entwickler von Apples iOS oder Googles Android in ihre Betriebssysteme integriert haben, wird kein Smartphone-Hersteller die Fähigkeit der Cellebrite-Produkte unterstützen.
Fast der gesamte Code von Cellebrite, so Moxie, “dient dazu, nicht vertrauenswürdige Eingaben zu analysieren […]”.
Cellebrite kann allein aufgrund der Tatsache, dass die Software als unzuverlässig eingestuft wird, mit schwerwiegenden rechtlichen Konsequenzen rechnen. Da den Ergebnissen nicht geglaubt werden kann, wenn das Datenextraktionsverfahren “nicht vertrauenswürdig” ist, ist die Integrität der Daten im Zusammenhang mit zuverlässigen Beweisen von größter Bedeutung. Wenn eine solche Software ein Höchstmaß an Datenintegrität anstreben würde, müsste sie stets auf dem neuesten Stand gehalten werden. Moxie fand jedoch im Code ffmpeg Teile, die auf das Jahr 2012 datiert waren. Dies hat es bereits ermöglicht, dass mit der Datenausgabe von Cellebrite alle Arten von Raubüberfällen durchgeführt werden können.
Darüber hinaus hat Team Signal AppleMobileDeviceSupport6464.msi und AppleApplicationsSupport64.msi in dem Cellebrite-Paket gefunden. Etwas, das das israelische Unternehmen offensichtlich aus dem Windows-iTunes-Installationsprogramm für die 2018er Version 12.9.0.167 entwendet hat. Dies ist für Cellebrite streng verboten. Apple prüft die Authentizität seiner Daten und die Identität derjenigen, die auf sie zugreifen dürfen, sowie die Parameter, unter denen ein solcher Zugriff erlaubt ist. Ausgehend von Apples Haltung zum Datenschutz können wir mit Sicherheit sagen, dass Cellebrite diese Dateien ohne Genehmigung verwendet hat. Es ist wichtig, “legitim” zu sein, wie auf der Cellebrite-Website betont wird. Wenn Apple beschließt, Cellebrite zu verklagen, könnte dies Auswirkungen haben.
Moxie hat mindestens eine Schwachstelle für die Ausführung von beliebigem Code gefunden. Sollte ein Hacker eine solche Schwachstelle finden, kann er sie auf verschiedene Weise ausnutzen. Mit der Hilfe von Cellebrite hat Moxie diesen Vorgang automatisiert. Die Software von Cellebrite kann beliebige Kodierungen entschlüsseln, so dass der Physical Analyzer und UFED solche Dateien problemlos lesen und verarbeiten können. Diese Daten können in jedes beliebige Programm integriert werden. Es kommt noch schlimmer: Mit nur einer Datei kann Moxie alle von der Cellebrite-Software erstellten Berichte verändern. Und zwar nicht nur den aktuellen Bericht, sondern auch alle Berichte der Vergangenheit und der Zukunft. Und das, ohne Inkonsistenzen bei den Integritätsprüfungen auszulösen. Dies bedeutet, dass Moxie herausgefunden hat, wie Informationen in UFED und Physical Analyzer gespeichert werden können. Dies bricht das Programm vollständig. Moxie demonstriert in einem Video, wie man eine Fehlermeldung von Cellebrite während eines Routine-Scans vortäuscht und zeigt dann ein Zitat aus dem Film “Hackers”. Nach Moxies Recherchen sollten Kunden von Cellebrite, denen die Genauigkeit ihrer Scans wichtig ist, die Finger von dem Produkt des Unternehmens lassen.
Nach Ansicht von Moxie Marlinspike und Signal tragen White Hat Hacker eine große Verantwortung. Sie wollen Unternehmen dabei helfen, ihre Software zu reparieren und zu verbessern, selbst wenn die Ursache für Elend und Tod Software ist. Signal hat seine Unterstützung jedoch davon abhängig gemacht, dass Cellebrite die folgende Bedingung erfüllt: “Wenn Cellebrite das Gleiche für alle Schwachstellen tut, die sie in ihren physischen Extraktions- und anderen Diensten für ihre jeweiligen Anbieter verwenden, sowohl jetzt als auch in Zukunft, werden wir natürlich die genauen Schwachstellen, die uns bekannt sind, in angemessener Weise an sie weitergeben.”
Darüber hinaus hat Moxie enthüllt, dass Signal bald mit ästhetischen Dateien in “völlig unzusammenhängenden Nachrichten” geschmückt sein wird. Diese Dateien dienen ausschließlich dazu, die App optisch ansprechender zu gestalten; sie sind nicht dazu gedacht, in irgendeiner Weise mit der Funktionalität von Signal zu interagieren. Sogar die Verteilung zahlreicher, im Wesentlichen unterschiedlicher Dateien in zufällig installierten Apps wurde von Signal angekündigt. Aber Moxie informiert uns, dass sie alle attraktiv sind. Er sagt: “Ästhetik ist bei Software entscheidend.” Wenn Sie es noch nicht haben, besteht die Möglichkeit, dass Signal bald mit den Dateien vorinstalliert wird, die zum Hacken von Cellebrite erforderlich sind.
Übersetzung aus dem Englischen, den Originalartikel finden Sie hier: Hacking Cellebrite with Signal: giving spy software a deadline
