Manipulierbar und veraltet
Signal entlarvt Schwachstellen in den Schnüffel-Tools von Cellebrite
Das israelische Unternehmen Cellebrite schmückt sich mit der fragwürdigen Leistung, finanzkräftigen Geschäftspartnern den Zugriff auf die persönlichen Inhalte von Mobilgeräten zu ermöglichen. Zum Kundenkreis des Anbieters gehören weltweit Ermittlungsbehörden und Diktaturen.
Mit der Ankündigung, über ihre Software auch den Zugriff auf die Inhalte der Messenger-App Signal beispielsweise für Ermittler bereitzustellen, hat Cellebrite den Bogen jedoch überspannt. Der Signal-Gründer Moxie Marlinspike hat daraufhin einen entlarvenden und für Cellebrite ausgesprochen unangenehmen Blog-Beitrag verfasst. Dabei kommt nicht nur zur Sprache, dass die Software-Tools von Cellebrite auf veralteten und unsicheren Komponenten basieren, sondern sich die damit zu Tage geförderten Inhalte auch auf einfache Weise fälschen und somit wertlos machen lassen.
Als Basis für die von Signal veröffentlichte Untersuchung dient eines der eigentlich streng gehüteten Schnüffel-Kits von Cellebrite, das dem Signal-Gründer zufolge „von einem LKW gefallen ist“. Neben einer Vielzahl von Adaptern waren darin auch die aktuellen Windows-Tools von Cellebrite enthalten, die Signal in Folge unter die Lupe genommen hat.
Das Ergebnis der Analyse dürfte für Cellebrite alles andere als erfreulich sein, ganz besonders, weil das Unternehmen gerade dabei ist, seinen Börsengang vorzubereiten. Die Signal-Entwickler sind bei ihrer Untersuchung auf Unmengen veralteter Code-Bausteine gestoßen und haben auf dieser Basis zahlreiche Möglichkeiten gefunden, die Cellebrite-Software zu manipulieren und modifizieren.
Auch mit Blick auf Apple sind die gewonnenen Erkenntnisse interessant. So integriert Cellebrite diverse Software-Bibliotheken des iPhone-Herstellers in seine Werkzeuge, vermutlich ohne die entsprechenden Lizenzen zu besitzen.
Signal verpackt in seinen Artikel auch die konkrete Drohung, das die durch Cellebrite zutage geförderten Chat-Auszüge frei erfunden und somit vollständig nutzlos sein könnten. So könne man jederzeit und auf zufälliger Basis willkürliche Daten in der Speicherstruktur von Signal platzieren, mit deren Hilfe sich die Ausgabe der Cellebrite-Tools verfälschen und damit wertlos machen ließe.
„Vom Laster gefallen“, genau mein Humor!
Auch die Dateien hinzuzufügen, die keine Nutzen für User haben, aber „schön aussehen“ ;)
Mega der Typ
Das alles dürfte den Kunden der Firma relativ egal sein. Hauptsache, es funktioniert. Dass die Ergebnisse nicht unbedingt gerichtsfest im Sinne eines Rechtsstaates sein können, interessiert z.B. Geheimdienste auch nur am Rande. Für die zählt die Information an sich.
Vor allem die Diktatoren und Autokraten wird’s nicht interessieren.
Aber den Börsengang wird’s hoffentlich verhageln.
Ganz im Gegenteil. Jemand der dem Regime unangenehm ist, hat auf einmal Kinderpornos oder sowas in seinem Signalverlauf und kann so öffentlich super denunziert werden.
Die Daten können auch gar nicht gerichtsfest sein, da der Export von chatnachrichten als txt Datei erfolgt. So ein Ding mitsamt der Kabel ist übrigens in sehr vielen Telekom Shops zu finden. Ich habe selber länger damit gearbeitet.
Für was hat den der Telekom-Shop so ein Teil?
Tja, sehr professionell, dieser Verein. Gut gut. Alles nur Fake, wen wundert das eigentlich? Staaten bezahlen gerne für vermeintlich wertvolle Daten, da kann man durchaus kreativ werden. :-)
Das ist keine „Schnüffelsoftware“.
Das ist ein wichtiges Werkzeug für die Arbeit von Sicherheitsbehörden.
Ob Cellebrite ihre Software auch in fragwürdige Länder verkaufen muss ist diskutierbar.
Der Sinn und Zweck der Software an sich aber nicht.
Wenn sie mit geklauten Softwarebiliotheken arbeiten sollte es möglich sein, dass Apple sie bald verklagt.
Und es zeigt die „Ethik“ des Unternehmens, das unter seinen Kunden viele Diktatoren und Autokraten hat.
Ja, das meine ich.
Die Dinge, die Du ansprichst sind diskutabel.
Aber so eine Software an sich ist ungemein wichtig. Wie sonst sollen z.B. Handys ausgewertet werden? Und die Antwort darauf kann nicht sein „gar nicht“.
warum nicht?
Eben. Warum nicht?
Cellebrite ist doch nur so bekannt, weil die Software und Geräte frei verkäuflich sein. Für Behörden gibts noch ganz andere Möglichkeiten. Kaspersky macht sowas sicherlich auch, aber verkauft die Software nicht
Vergebene Liebesmühe diese Angelegenheit differenziert betrachten zu wollen. Wer der Meinung ist, dass Strafverfolgungsbehörden nicht an solche Daten gelangen sollten, will ich mal sehen, wenn sie Opfer schwerer Straftaten wurden und deren Aufklärung zu einem erheblichen Teil von der Auswertung der/des Täterhandys abhängt.
Geld machen mit der Dummheit der anderen
Irgendwie verrückt dass ausgerechnet dieses Land Diktaturen fördert