Signal hackt Cellebrite: Ultimatum an Spionage-Software

Es sei vom Lastwagen gefallen, behauptet Signal-Gründer und White Hat Hacker Moxie Marlinspike in einem Blogeintrag seines Messengers Signal (Google Android und Apple iOS). Er spricht von einem Analyse-Kit des Software-Herstellers Cellebrite und sorgt damit für grosses Aufsehen. Moxie und sein Team haben die Software aufgebohrt und analysiert.

Dabei haben sie grosse Sicherheitslücken bei festgestellt. Nun droht Signal damit, diese Lücken aktiv auszunutzen.

Spionage-Software für die Polizei

Cellebrite ist eine Softwarefirma aus Israel mit Hauptsitz in Petah Tikva. Die Firma, 1999 von Avi Yablonka, Yaron Baratz und Yuval Aflalo gegründet, ist spezialisiert auf die Überwachung von Mobilgeräten. Ihre Sofwarepakete mit dem Namen «Physical Analyzer» und «UFED» werden von Polizeikorps und Regierungen auf der ganzen Welt eingesetzt. Öffentlich ist diese Software nicht erhältlich, zumindest theoretisch, und ihre genaue Funktionsweise wird nirgends erklärt.

Physical Analyzer und UFED werden dazu eingesetzt, Daten aus Smartphones zu extrahieren und sie zu durchsuchen.

Damit das geschehen kann, so Moxie Marlinspike, muss der Cellebrite User das Smartphone der Zielperson physisch in den Händen halten. Es sei unmöglich, mit Cellebrite-Produkten Daten über das Internet oder Funknetze abzugreifen.

Cellebrites Produkte werden mit Regierungen in Verbindung gebracht, die es nicht so mit Menschenrechten haben. «Ihre Kundenliste beinhaltet autoritäre Regimes in Weissrussland, Russland, Venezuela und China; Todesschwadronen in Bangladesch, Militärjuntas in Myanmar und jene, die in der Türkei, den Vereinigten Arabischen Emiraten und sonstwo ihr Volk missbrauchen und unterdrücken wollen», schreibt Moxie.

Der Israelische Hersteller hat zudem vor einigen Monaten angekündigt, dass Signal von Cellebrite unterstützt wird. Moxie erklärt, dass das nicht heisst, dass Cellebrite die Verschlüsselung Signals gebrochen hat. Das Feature beschreibe lediglich den Vorgang «App öffnen, Mitteilungen ansehen», der von Cellebrite automatisiert wurde und ein entsperrtes Smartphone erfordere.

Cellebrite Hack: Ein kleines Glossar

Damit du verstehst, was genau Moxie Marlinspike gemacht hat und warum kein Rechtssystem die Software Cellebrites guten Gewissens zur Beweisführung verwenden kann oder sollte, musst du einige Begriffe und Konzepte verstehen.

UFED

UFED ist ein Programm aus dem Hause Cellebrite. Es soll «rechtsmässig» PIN, Pattern und Passwörter von gesperrten Smartphones umgehen können. Mehrere Datensammlungsmechanismen sollen die «rechtmässig» extrahierten Daten kontextualisieren, um noch mehr aus den Funden herauszuholen. Dazu soll UFED auf bis zu 40 Apps «rechtmässig» zugreifen können. In der Grundfunktion kannst du dir das als Backup Software vorstellen. Cellebrite ist es wichtig, dass du weisst: Alles, was sie tun, ist rechtens.

Notebook

Panasonic Toughbook 55

14", Intel Core i5-8365U, 8 GB, 256 GB, CH

1

Notebook

Panasonic Toughbook 55

14", Intel Core i5-8365U, 8 GB, 256 GB, CH

1

UFED wird auf Wunsch vorinstalliert auf einem ruggedized Laptop der Marke Panasonic geliefert. Damit soll das Abgreifen der Daten unterwegs ermöglicht werden.

Physical Analyzer

Physical Analyzer ist ein Programm aus dem Hause Cellebrite. Es entschlüsselt die von UFED extrahierten Daten und stellt diese visuell dar. Moxie beschreibt es als «visuelle Interpretation von adb backup», also einer hübsch aufbereiteten Darstellung eines Backups. Dazu muss der Physical Analyzer die Daten aus deinem Smartphone lesen können, sprich Read Access haben. Write Access ist da nicht zwingend notwendig, aber trotzdem inkludiert.

Physical Analyzer wird auf Wunsch vorinstalliert auf einer eigens für das Programm optimierten Workstation geliefert. Damit soll die Aufbereitung der von UFED geknackten Daten schneller gehen.

UFED und Physical Analyzer werden oft als Paket gehandelt. Es kommt selten vor, dass eine Regierung oder ein Regime UFED ohne Physical Analyzer bestellt und andersrum. Du kannst dir das so in etwa wie die Microsoft Office Suite der Spionage-Software vorstellen.

ffmpeg

ffmpeg ist Open Source Software. Seit seiner Gründung im Jahre 2000 wird ffmpeg weiterentwickelt und in zig Projekten anderer Softwarehersteller verwendet. ffmpeg kann Videos konvertieren, zurechtschneiden, den Ton verändern und noch viel mehr.

In Information-Security-Kreisen ist ffmpeg dafür bekannt, viele Schwachstellen offen zu kommunizieren und zeitnah zu fixen. Die Tatsache, dass da viele Schwachstellen sind, heisst nicht, dass die Software inhärent unsicher ist. Nicht zwingend. Es kann auch dafür sprechen, dass das ffmpeg Team aktiv und transparent arbeitet.

Wie die Schwachstellenliste des MITRE zeigt, gibt es bis dato 355 Schwachstellen, die öffentlich bekannt sind. Sie sind, in der Regel, alle gestopft. Die Faustregel besagt: Wenn du ffmpeg benutzt, dann halte die Software up to date.

Arbitrary Code Execution

Arbitrary Code Execution, manchmal auch Arbitrary Code Injection genannt, ist eine Technik, die von Hackern verwendet wird. Indem eine Hackerin eine Schwachstelle ausnutzt, kann sie ein Programm dazu bringen, beliebigen Code auszuführen. Der Code kann irgendetwas bewirken, vom Anzeigen einer Fehlermeldung bis hin zur Sammlung von Passwörtern und Kreditkartendaten.

Dieser arbiträre Code wird auch «spezifischer Code» genannt. Er ist, in der Fachsprache, in «unerwarteter Weise» formatiert. Das heisst, dass die verwundbare Software Input bekommt, mit der sie nicht umgehen kann und unerwartet reagiert. Ein Beispiel: Indem du Code in ein Suchfeld eingibst, kannst du eine Fehlermeldung provozieren.

Trusted/Untrusted Sources

Trusted, oder auch untrusted, Sources beschreiben ein Konzept in der Softwarekommunikation. Wenn Software A mit Software B redet, dann muss da ein Vertrauensverhältnis sein. Im Prinzip einigen sich die Programme auf die Aussage «Ja, ich vertraue dir, dass du keinen Quatsch mit meinen Daten anstellst».

Es ist möglich, dass Software A Daten an ein Programm gibt, dem es nicht vertraut. Dann wird von «untrusted sources» gesprochen.

Das Konzept der trusted/untrusted sources wird überwiegend im Kontext von Smartphones benutzt. Wenn du eine App installierst, die aus dem App Store stammt, dann kommt sie von einer vertrauenswürdigen Quelle. Wenn du sie sideloadest, also manuell oder via App Store Dritter installierst, dann ist die Quelle nicht vertrauenswürdig.

Software verhindert in der Regel die Kommunikation mit Untrusted Sources, es sei denn der User erlaubt die Kommunikation explizit.

Die Schwachstellen in Cellebrites Software

Moxie hat in seiner Untersuchung eine Vielzahl Schwachstellen festgestellt. Dies hat zwei Ursachen:

1. Cellebrite scheint sich nicht gross für die Sicherheit der eigenen Software zu interessieren
2. Cellebrites Software wird von allen Geräten und Programmen als «nicht vertrauenswürdig» eingestuft. Denn schon als Basiskonzept müssen UFED und Physical Analyzer als «untrusted» funktionieren. Kein Smartphone-Hersteller sieht die Funktionsweise der Cellebrite-Produkte vor, denn unautorisierte Backups und Entschlüsselungen sind weder in Apples iOS noch in Googles Android vom Erfinder verbaut.

«Praktisch der gesamte Code Cellebrites existiert dazu, nicht vertrauenswürdigen Input zu bearbeiten», schreibt Moxie.

Alleine schon die Tatsache, dass die Software als nicht vertrauenswürdig eingestuft wird, würde Cellebrite auf rechtlicher Ebene das Genick brechen. Denn wenn die Methode der Datenextraktion «untrusted» ist, dann kann den Resultaten auch nicht vertraut werden. Denn im Rahmen einer gesunden Beweisführung ist die Integrität besagter Beweise von grösster Wichtigkeit.

Solch eine Software müsste, wenn sie eine möglichst grosse Datenintegrität anstrebt, stets aktuell gehalten werden. Doch Moxie hat im Code ffmpeg-Komponenten von anno 2012 entdeckt. Dies hat bereits Tür und Tor geöffnet, allerlei Schindluder mit dem Daten-Output Cellebrites zu treiben.

Cellebrite klaut bei Apple

Ausserdem hat das Team Signal festgestellt, dass in der Cellebrite-Suite Dateien namens AppleApplicationsSupport64.msi und AppleMobileDeviceSupport6464.msi enthalten sind. Diese habe die israelische Firma dem Windows Installer von iTunes Version 12.9.0.167 von anno 2018 entnommen.

Das darf Cellebrite nicht.

Apple zertifiziert seine Daten und die Menschen, die mit besagten Daten umgehen dürfen und stellt auch fest, in welchem Kontext das geschehen darf. Apples genereller Position dem Datenschutz gegenüber folgend, kann davon ausgegangen werden: Cellebrite hat diese Dateien unerlaubt verwendet. Wie dich die Website Cellebrites oft und gerne wissen lassen will: «Rechtmässig» ist Cellebrite wichtig.

Das könnte Konsequenzen haben, sollte Apple rechtlich gegen Cellebrite vorgehen.

Moxie zerstört Cellebrite

Moxie hat mindestens eine Schwachstelle gefunden, die als «arbitrary code execution» klassifiziert wird. Wenn ein Hacker eine solche Schwachstelle entdeckt, dann stehen ihm eine Vielzahl Möglichkeiten offen.

Moxie hat es geschafft, diesen Prozess im Kontext von Cellebrites Software zu automatisieren. Wenn Physical Analyzer und UFED mit einer Datei konfrontiert werden, in der arbiträrer Code enthalten ist, dann interpretiert Cellebrites Software diesen Code einfach. Diese Datei kann in jeder App enthalten sein.

Schlimmer noch: Moxie kann mit einer Datei, alle Reports der Cellebrite-Software manipulieren. Also nicht nur den Report, zu dem die Datei gehört, sondern alle vorherigen und zukünftigen Reports auch. Dies ohne irgendwelche Unregelmässigkeiten bei der Integritätsüberprüfung auszulösen. Das bedeutet: Moxie hat einen Weg gefunden, Daten in UFEDs und Physical Analyzers zu schreiben. Dadurch wird die Funktionsweise der Software zerstört.

In einem Video zeigt Moxie, wie er im Rahmen eines normalen Scans eine Fehlermeldung aus Cellebrite produziert, die ihm ein Zitat aus dem Film «Hackers» anzeigt.

Moxies Schlussfolgerung: Wenn Cellebrite-Nutzer sich auf die Resultate ihrer Scans verlassen wollen, dann ist es nicht ratsam, dies mit Cellebrite zu tun.

Signal will Cellebrite helfen

Da Moxie Marlinspike und Signal sich auf der Seite der White Hat Hacker sehen, sehen sie sich auch in der Verantwortung. Sie wollen Herstellern bei der Reparatur und Verbesserung ihrer Software helfen. Das gilt selbst wenn es sich dabei um Software handelt, die zu Leid und Tod führt.

Aber Signal knüpft ihre Hilfeleistung an eine Bedingung: «Wir sind natürlich bereit, Cellebrite die spezifischen Schwachstellen ihrer Software aufzuzeigen, sofern Cellebrite allen Software-Herstellern mitteilt, welche Schwachstellen sie bei der Analyse von Smartphones ausnutzen. Dies muss Cellebrite heute und auch in Zukunft tun.»

Ferner, und «völlig von dieser Sache unabhängig», hat Moxie angekündigt, dass Signal demnächst mit ästhetischen Dateien verschönert werden soll. Diese Dateien sollen nicht mit der Funktionsweise oder sonst etwas in der App Signal interagieren und dienen lediglich der Schönheit der App. Signal kündigt sogar mehrere, grundverschiedene Dateien an, die zufällig in App Installs verbreitet werden sollen. Aber sie seien alle, so versichert Moxie, hübsch. «Die Ästhetik von Software ist wichtig», schreibt Moxie. Konkret steht die Vermutung im Raum, dass Signal demnächst die Datei zur Korruption Cellebrites vorinstalliert hat.