Die Forensikfirma Cellebrite hat behauptet, den Messenger Signal "entschlüsseln" zu können. Dessen Entwickler zerpflücken nun im Gegenzug Cellebrites Software.
(Bild: Leonidas Santana/Shutterstock.com)
c’t Magazin Von
- Sylvester Tremmel
Software der israelischen IT-Security-Firma Cellebrite kommt in der Strafverfolgung überall auf der Welt zum Einsatz, gerne in Rechtsstaaten gegen Terroristen, aber wohl auch in Belarus oder gegen Demonstranten in Hongkong, wie etwa Menschenrechtsanwalt Eitay Mack beklagt. Die Tools sollen Smartphones umfänglich auslesen können und erlauben, die gewonnenen Daten zu analysieren. Wie weit die Fähigkeiten von Cellebrites Produkten gehen, ist nicht klar. Die Firma wirbt damit, Zugriff auf "alle iOS- und High-End-Android-Geräte" zu verschaffen. Allerdings neigt das Unternehmen zu Übertreibungen; eine solche könnte die Firma nun teuer zu stehen kommen.
Ende 2020 schrieb Cellebrite im firmeneigenen Blog, man habe eine "neue Lösung, um die Signal-App zu entschlüsseln", obwohl "die Entschlüsselung von mit Signal versendeten Nachrichten und Anhängen beinahe unmöglich" sei. Was der Eindruck schindende Blogeintrag nicht deutlich machte: Es ging dabei keineswegs darum, Signals Ende-zu-Ende-Verschlüsselung zu knacken. Stattdessen hatte lediglich Cellebrites "Physical Analyser" die Möglichkeit erhalten, Daten der Signal-App auszulesen und aufzubereiten – wenn man ohnehin bereits Zugriff auf die Daten hat, etwa weil das Smartphone entsperrt vorliegt.
Einige Medien und Sicherheitsexperten gingen der Meldung auf den Leim, aber letztlich warf die Effekthascherei kein gutes Licht auf Cellebrite. Das sah die Firma offenbar ähnlich und ersetzte den Blogpost bald durch einen viel kürzeren und deutlich nüchterneren. Die Signal-Entwickler veröffentlichten ihrerseits einen Blogpost, in dem sie Cellebrite und die beteiligten Medien kritisierten.
Gegenschlag
Damit schien die Geschichte beendet. Doch am 21. April schlug Signal-CEO Moxie Marlinspike kräftig zurück und nahm Cellebrites Software in einem Blogbeitrag auseinander. Ihm war es offenbar gelungen, ein Kit mit Cellebrites Extraktionstool "UFED" und dem erwähnten Analyseprogramm "Physical Analyser" zu erhalten.
Das von Signal benutzte Cellebrite-Kit ist angeblich vom Laster gefallen.
(Bild: Signal.org)
Wie genau Marlinspike an die Tools kam, bleibt offen; im Blog steht, die Tasche sei "vom Laster gefallen". Allerdings wurden Cellebrite-Tools sogar schon auf eBay gesichtet, möglicherweise war die Beschaffung also nicht allzu schwer. In der Cellebrite-Software suchte der Signal-Entwickler dann nach Schwachstellen und wurde schnell fündig. Der Physical Analyser bietet eine große Angriffsfläche, weil er fremde Daten und Formate verarbeiten muss, die zudem aus potenziell böswilligen Quellen stammen. Cellebrite trägt dem aber angeblich kaum Rechnung: Laut Signal fehlen schon grundlegende Schutzmaßnahmen, etwa regelmäßige Updates. Die Cellebrite-Software setze zum Beispiel eine Version der FFmpeg-Bibliothek aus dem Jahr 2012 ein – mit Dutzenden Sicherheitslücken.
Durch manipulierte Dateien kann die Cellebrite-Software so sehr aus dem Tritt kommen, dass beliebiger Code auf dem zur Analyse genutzten Rechner ausgeführt wird. Beispielhaft demonstrieren die Signal-Entwickler das in einem kurzen Video voller Anspielungen auf den Kultfilm "Hackers". Diese Lücken erlauben laut Signal beliebige Manipulationen, nicht nur der aktuellen Analyse, sondern auch von bereits durchgeführten oder zukünftigen Analysen. Das zieht deren Stichhaltigkeit und Gerichtsfestigkeit massiv in Zweifel.
Giftpillen
Im gleichen Blogpost legt Signal noch mehrfach nach: Zum einen fanden die Entwickler auch Code von Apple in den Cellebrite-Produkten und vermuten, dass es sich dabei um Urheberrechtsverletzungen handelt. Auf Nachfragen von c’t antworteten bis Redaktionsschluss weder Apple noch Cellebrite.
Außerdem bieten die Signal-Entwickler Cellebrite einen "Deal" an: Sie würden Cellebrite über alle gefundenen Sicherheitslücken aufklären, wenn die Sicherheitsfirma im Gegenzug "jetzt und in Zukunft" alle Lücken, die ihr bekannt sind, an die Hersteller der betroffenen Produkte meldet. Kaum denkbar für eine Firma, deren Geschäftsmodell auf dem exklusiven Wissen um solche Lücken basiert.
Blogposts
-
Cellebrite’s New Solution for Decrypting the Signal App
-
Helping Law Enforcement Lawfully Access The Signal App
-
No, Cellebrite cannot 'break Signal encryption.'
-
Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective
Zuletzt kündigen die Signal-Entwickler an, dass zukünftige Versionen des Messengers bestimmte Dateien vom Signal-Server laden und speichern werden. Diese Dateien seien funktionslos, würden aber "gut aussehen". Man habe verschiedene solcher Dateien und plane, sie nur gelegentlich an schon länger existierende Signal-Accounts auszuliefern. Ein Schelm, wer Böses dabei denkt. Sollten diese Dateien Cellebrite-Software aus dem Tritt bringen, kann sich die Firma auf unzufriedene Kunden gefasst machen.
c’t Ausgabe 11/2021
In c’t 11/2021 untersuchen wir die Chancen und Risiken von Kryptogeld. Außerdem zeigen wir, wie Sie den Ton im Videocall verbessern können, wir haben 4K-Monitore mit USB-Dock und Tischaufsätze fürs Homeoffice getestet und Software fürs Vereinsmanagement. Sie erfahren, wie Sie den Raspi blitzschnell einrichten, Fotos per KI entrauschen und mit 3D-Fotos Googles Street View bereichern können. Ausgabe 11/2021 ist ab dem 7. Mai im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.
(syt)
Quelle: www.heise.de