Sicherheitslücken: Messenger Signal hackt Forensik-Tool des FBI

Cellebrite verkauft Software an Polizei und Diktaturen und behauptet, Signal gehackt zu haben. Jetzt haben die Signal-Macher Cellebrite gehackt.

Artikel veröffentlicht am ,
Der Physical Analyzer von Cellebrite wurde gehackt.
Der Physical Analyzer von Cellebrite wurde gehackt. (Bild: Cellebrite/Screenshot: Golem.de)

Nachdem der Forensik-Software-Hersteller Cellebrite im vergangenen Jahr großspurig und vor allem falsch verkündet hatte, dass er den Messenger Signal hacken könne, kommt nun die Retourkutsche: Signals Hauptentwickler Moxie Marlinspike konnte die Cellebrite-Software hacken. Die Sicherheitslücken sind dabei so schwerwiegend, dass die forensischen Ergebnisse einer aktuellen sowie vergangener und zukünftiger Untersuchungen manipuliert werden können. Eine entsprechende Funktion solle in den Messenger Signal eingebaut werden, erklärte Marlinspike.

Stellenmarkt
  1. Referent IT-Koordination (m/w/d)
    EVH GmbH, Halle (Saale)
  2. Lead Architect ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
Detailsuche

Die Software von Cellebrite richtet sich an Regierungen und Polizei, darunter auch autoritäre Regime, die Journalisten und Aktivisten mit der Software verfolgen. Diese können mit den Programmen UFED und Physical Analyzer Smartphones forensisch auslesen und aufbereiten. Voraussetzung dazu ist, dass die Behörden physischen Zugriff auf ein Smartphone erhalten - im entsperrten Zustand.

Der Signal-Hack, der keiner war

"Als Cellebrite ankündigte, dass es seine Software um Signal-Unterstützung erweitert hat, bedeutete dies eigentlich nur, dass es Physical-Analyzer-Unterstützung für die von Signal verwendeten Dateiformate hinzugefügt hat", schreibt Marlinspike in einem Blogeintrag. Und kommentiert damit lakonisch, was es mit dem angeblichen Signal-Hack auf sich hatte.

"Dies ermöglicht es Physical Analyzer, die Signaldaten anzuzeigen, die von einem entsperrten Gerät im physischen Besitz des Cellebrite-Benutzers extrahiert wurden." Unter diesen Voraussetzungen könnte ein Eindringling jedoch auch einfach die Signal-App - oder jede andere App - öffnen und die Nachrichten dort lesen und gegebenenfalls Bildschirmfotos erstellen.

Cellebrite nutzt neun Jahre alte Ffmpeg-Bibliothek mit zahlreichen Sicherheitslücken

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
Weitere IT-Trainings

Die Software von Cellebrite bereitet die Daten jedoch auf, entsprechend lassen diese sich einfacher analysieren. Damit dies gelingt, muss der Physical Analyzer eine Vielzahl von unterschiedlichen Formaten aus einer nicht vertrauenswürdigen Quelle - beispielsweise einem beschlagnahmten Smartphone - verarbeiten. Ein klassisches Einfallstor für Schadsoftware, wie beispielsweise diverse Sicherheitslücken in dem Medienframework von Android oder Antivirensoftware zeigen, die ihrerseits eine Vielzahl von Dateiformaten analysieren muss.

Um Mediendaten anzeigen zu können, nutzt Cellebrite auch die Open-Source-Bibliothek Ffmpeg. Allerdings in einer Version aus dem Jahr 2012, die Cellebrite seitdem nicht aktualisiert hat. "In dieser Zeit gab es über hundert Sicherheitsupdates, von denen keines eingespielt wurde", schreibt Marlinspike.

"Dem ausführbaren Code sind praktisch keine Grenzen gesetzt"

Mit speziell präparierten Dateien, die die Software aus einem Smartphone auslesen, lassen sich die Sicherheitslücken ausnutzen und beliebiger Code auf dem Cellebrite-Rechner ausführen. Dabei seien dem ausführbaren Code praktisch keine Grenzen gesetzt, erklärt Marlinspike. In einem Proof-of-Concept-Video wird das Vorgehen demonstriert.

Damit könne nicht nur die aktuelle forensische Analyse eines Smartphones manipuliert werden, sondern auch die Cellebrite-Berichte aller zuvor oder zukünftig gescannten Geräte, heißt es in dem Blogeintrag. Beispielsweise lassen sich Texte, E-Mails, Fotos, Kontakte, Dateien oder andere Daten einfügen oder entfernen, ohne dass sich die Änderung über einen Zeitstempel oder eine Prüfsumme erkennen lässt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das stelle die Glaubwürdigkeit der Berichte von Cellebrite ernsthaft infrage, da jede App eine solche präparierte Datei enthalten könne, schreibt Marlinspike. Entsprechend fragwürdig dürfte der Einsatz solcher Berichte als Beweismittel vor Gericht sein.

Signal will zukünftig Cellebrite hacken

Zudem kündigte Marlinspike an, dass die kommende Version von Signal regelmäßig solche Dateien abrufen und im Appspeicher ablegen wird. "Diese Dateien werden nie für irgendetwas innerhalb von Signal verwendet und interagieren nie mit Signal-Software oder -Daten, aber sie sehen schön aus, und Ästhetik ist bei Software wichtig", schreibt Marlinspike gewitzt.

"Wir sind natürlich bereit, die spezifischen Schwachstellen, von denen wir wissen, verantwortungsvoll gegenüber Cellebrite offenzulegen", schreibt Marlinspike. Allerdings werde man dies nur unter der Bedingung tun, dass Cellebrite auch alle Schwachstellen an die jeweiligen Hersteller meldet, die sie für ihre Software und Dienste verwendet - jetzt und in Zukunft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Mangnoppa 27. Apr 2021

Aber genau das habe ich doch in meinem Kommentar geschrieben. Selbst wenn kein Code...

newbit 24. Apr 2021

Der Film heißt "Hackers". Toller Film, lange nicht gesehen!

User_x 23. Apr 2021

Das ist wieder was anderes - wo man nicht reinkommt, das sperrt man. Guckst du Iran oder...

StaTiC2206 23. Apr 2021

jep. Wen ich ein Bild von Malen nach Zahlen ausmale bin ich auch noch lange kein Künstler

bw71236196231 23. Apr 2021

Ich denke auch das hier nur aufgezeigt wird wie schlecht die Cellebrite Software...



Aktuell auf der Startseite von Golem.de
Spielebranche
Microsoft will Activision Blizzard übernehmen

Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Spielebranche: Microsoft will Activision Blizzard übernehmen
Artikel
  1. Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
    Bundesservice Telekommunikation  
    Die dubiose Adresse in Berlin-Treptow

    Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
    Ein Bericht von Friedhelm Greis

  2. Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible
     
    Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible

    Kaum ein Unternehmen kommt künftig ohne Cloud aus. In drei Online-Kursen der Golem Akademie erfahren Teilnehmende die Grundlagen klassischer Cloud-Themen.
    Sponsored Post von Golem Akademie

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /