<html> <header class=„article-header“><h1 class=„articleheading“>Macher des Signal-Messenger hacken Spionage-Software von Cellebrite</h1><div class=„publish-info“> Uli Ries</div></header><figure class=„aufmacherbild“><img src=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/0/9/3/1/4/5/Bildschirmfoto_2021-04-22_um_11-05880c5f20af4e68.png“ srcset=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/0/9/3/1/4/5/Bildschirmfoto_2021-04-22_um_11-05880c5f20af4e68.png 700w, https://heise.cloudimg.io/width/1050/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/0/9/3/1/4/5/Bildschirmfoto_2021-04-22_um_11-05880c5f20af4e68.png 1050w, https://heise.cloudimg.io/width/1500/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/0/9/3/1/4/5/Bildschirmfoto_2021-04-22_um_11-05880c5f20af4e68.png 1500w, https://heise.cloudimg.io/width/2064/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/0/9/3/1/4/5/Bildschirmfoto_2021-04-22_um_11-05880c5f20af4e68.png 2064w“ alt=„“ class=„img-responsive“ referrerpolicy=„no-referrer“ /><figcaption class=„akwa-caption“>Eine Anspielung auf den Film „Hackers“ aus dem Jahr 1995: MESS WITH THE BEST, DIE LIKE THE REST. HACK THE PLANET!</figcaption></figure><p><strong>Die Signal-Entwickler zeigen per Video, wie ein präpariertes iPhone die von Ermittlungsbehörden verwendete Software von Cellebrite aushebelt.</strong></p><p>„Vom Laster gefallen“ sei das Cellebrite-Kit, das die Signal-Entwickler auf Schwachstellen untersuchen konnten. <a href=„https://www.heise.de/meldung/iPhone-Hacking-Tools-auf-eBay-gesichtet-4324268.html“><strong>Das israelische Unternehmen Cellebrite steht regelmäßig in der Kritik [1]</strong></a>, weil seine Spionage- und Datenanalyse-Produkte in Staaten mit Demokratiedefiziten wie Weißrussland, Myanmar oder den Vereinigten Arabischen Emiraten zum Einsatz kommen.</p><h3 class=„subheading“ id=„nav_spionage_softwar0“>Spionage-Software mit Schwachstellen</h3><p><a href=„https://signal.org/blog/cellebrite-vulnerabilities/“ rel=„external noopener“ target=„_blank“><strong>In einem bemerkenswerten Blog-Beitrag [2]</strong></a> beschreibt Signal-Erfinder Moxie Marlinspike, wie schlecht es um die Sicherheit der <a href=„https://www.heise.de/meldung/Entsperrhack-FBI-will-weitere-iPhones-und-iPods-knacken-3159476.html“><strong>von Ermittlungsbehörden weltweit verwendeten Cellebrite-Software [3]</strong></a> bestellt ist.</p><p>Unter anderem befänden sich aus dem Jahr 2012 stammende und von entsprechend vielen Sicherheitslücken geplagte DLLs des Open-Source-Video-Encoders ffmpeg in der UFED genannten Windows-Anwendung des Anbieters von Spionagesoftware. Hingegen fänden sich keine der ansonsten in der Software-Industrie üblichen Anti-Exploit-Mechanismen in der Applikation.</p><h3 class=„subheading“ id=„nav_hack_the_planet_1“>Hack the planet</h3><p>Nachdem sämtliche von UFED und der ebenfalls zum Cellebrite-Paket gehörenden Windows-Anwendung Physical Analyzer zu parsende Files nicht vertrauenswürdig sind und unvorhergesehene Formate enthalten können, führt das laut Marlinspike leicht zu Speicherkorrumpierungen.</p><p>In einem kurzen, mit Ausschnitten aus dem Kultfilm „Hackers“ angereicherten Video im Blog-Beitrag zeigen die Signal-Macher die Auswirkungen solcher Bugs: Während des Parsens eines iPhone-Backups öffnet sich ein Windows-Hinweisfenster mit dem Inhalt „Mess with the best, die like the rest! Hack the planet!“ – eine weitere Anspielung auf „Hackers“. Auslöser für die Meldung war offenbar eine auf dem iPhone gespeicherte, speziell präparierte Datei, das den Parser aus dem Tritt brachte. Die im Video gezeigte Version 7.40 von UFED ist seit Ende November 2020 im Umlauf. Derzeit aktuell ist Version 7.44.</p><p>Laut der Aussage der Signal-Entwickler sei das Gezeigte nur die Spitze des Eisbergs. Man könne dank der Schwachstellen beliebigen Code auf dem Windows-Rechner ausführen. So sei beispielsweise das Ausschleusen von Daten nach draußen möglich oder die Manipulation sämtlicher von der Cellebrite-Software erzeugten Reports. Dies gelte für bereits vorhandene Berichte und künftig erstellte. Träfe dies tatsächlich zu, wären die Reports als Beweismittel vor Gericht untauglich.</p><h3 class=„subheading“ id=„nav_vergiftete2“>Vergiftete Beigabe</h3><p>Am Ende des Blogbeitrags bringen die Signal-Macher die Giftpille ins Spiel: Kommende Signal-Versionen würden auf einzelnen Geräten regelmäßig Dateien nachladen und im App-Speicher ablegen. Die Dateien dienten „lediglich der Optik“ und hätten sonst keine Funktion innerhalb der Messenger-App. Signal spielt offensichtlich darauf an, mittels dieser Dateien Exploits für die Cellebrite-Software zu verteilen. Man habe diverse dieser „optisch ansprechenden“ Dateien im Fundus und werde diese nach und nach ausspielen.</p><p><strong>UPDATE 22.04.2021 11:30 Uhr:</strong></p><p>Aufgrund von Korrektheit: Überwachungs-Software durch Spionage-Software ersetzt.</p><p>() </p><hr /><p><strong>URL dieses Artikels:</strong><br /><small><code>https://www.heise.de/-6024421</code></small></p><p><strong>Links in diesem Artikel:</strong><br /><small><code><strong>[1]</strong> https://www.heise.de/meldung/iPhone-Hacking-Tools-auf-eBay-gesichtet-4324268.html</code></small><br /><small><code><strong>[2]</strong> https://signal.org/blog/cellebrite-vulnerabilities/</code></small><br /><small><code><strong>[3]</strong> https://www.heise.de/meldung/Entsperrhack-FBI-will-weitere-iPhones-und-iPods-knacken-3159476.html</code></small><br /><small><code><strong>[4]</strong> mailto:des@heise.de</code></small><br /></p><p class=„printversioncopyright“><em>Copyright © 2021 Heise Medien</em></p> </html>
