Security: Juristische Konsequenzen durch den Cellebrite-Hack

Die durch den Messenger Signal in einem Hack aufgedeckten schweren Sicherheitslücken im vom FBI und anderen Polizeibehörden weltweit verwendeten Forensiktool von Cellebrite haben Konsequenzen für Fälle, in denen die Software für die Beweissicherung verwendet wurde. Durch diese Lücken ist es möglich, Daten während der Extraktion aus einem Smartphone zu manipulieren. In Signal soll eine solche Manipulationsfunktion eingebaut werden, kündigte Hauptentwickler Moxie Marlinspike an.

Gizmodo berichtete nun von einem Anwalt, der das Urteil gegen einen seiner Mandanten auf dieser Grundlage in einem neuen Verfahren überprüfen lassen möchte.

Urteile, die sich auf die Beweiskraft von durch Cellebrite-Produkte ausgelesene Daten stützen, könnten nun angefochten werden, da grundsätzlich Zweifel an der Richtigkeit dieser Daten bestehen muss, weil niemand zweifelsfrei garantieren kann, dass die so gewonnen Daten nicht doch manipuliert sind.

Zum Hintergrund

Marlinspike hatte sich der Analyse der Tools von Cellebrite angenommen, nachdem diese stolz verkündeten, nun auch den Cryptomessenger gehackt zu haben und damit dessen Daten auslesen zu können. Letztlich handelte es sich nur um eine Unterstützung der von Signal verwendeten Dateiformate, keinem Hack von Signal an sich. Dem Physical Analyzer war es nur möglich Daten auszulesen, wenn physischer Zugriff auf das entsperrte Gerät bestand - dann aber könnten Ermittler auch einfach die Signal App öffnen und die Daten so in Augenschein nehmen. Bei seiner Analyse fand Marlinspike aber auch schwere Sicherheitslücken in der Software von Cellebrite.

Cellebrite hat seine Produkte laut Marlinspike an die Regierungen von Weißrussland, Russland, Venezuela und China verkauft, aber auch an die Todesschwadronen in Bangladesch und Militärjunta in Myanmar.