Categories: MobileMobile Apps

Signal-CEO führt Smartphone-Hacking-Firma Cellebrite vor

Cellebrite, Anbieter von Werkzeugen zum Knacken gesperrter Smartphones, hat offenbar ein Sicherheitsproblem. Dem Anbieter der Messaging-App Signal ist es nach eigenen Angaben gelungen, eine schwerwiegende Sicherheitslücke in den Tools von Cellebrite zu finden. Die Schwachstelle soll eine nachträgliche und nicht nachverfolgbare Manipulation der von Cellebrite extrahierten Smartphone-Daten erlauben.

“Durch Einfügen einer speziell formatierten, aber ansonsten harmlosen Datei in eine App auf einem Gerät, das dann von Cellebrite gescannt wird, ist es möglich, Code auszuführen, der nicht nur den Cellebrite-Bericht, der bei diesem Scan erstellt wird, sondern auch alle vorherigen und zukünftigen generierten Cellebrite-Berichte von allen zuvor gescannten Geräten und allen zukünftigen gescannten Geräten auf beliebige Weise verändert (Einfügen oder Entfernen von Text, E-Mails, Fotos, Kontakten, Dateien oder anderen Daten), ohne erkennbare Zeitstempeländerungen oder Prüfsummenfehler”, schreibt Signal-CEO Moxie Marlinspike in einem Blogeintrag. “Dies könnte sogar willkürlich geschehen und würde die Datenintegrität der Berichte von Cellebrite ernsthaft in Frage stellen.”

In welcher Komponente der Cellebrite-Tools die Anfälligkeit steckt, teilte Signal jedoch nicht mit. Das Unternehmen stellte zudem klar, dass es ohne “Gegenleistung” alle Details der Sicherheitslücke unter Verschluss halte – was dem Geschäftsmodell von Cellebrite entspricht. Die Werkzeuge von Cellebrite nutzen nämlich den jeweiligen Herstellern von Smartphones unbekannte Sicherheitslücken aus, über die Cellebrite die Hersteller bewusst nicht informiert, um seinen eigenen Geschäften nachgehen zu können.

Signal forderte in seinem Blogeintrag Cellebrite auf, alle dem Unternehmen bekannte Schwachstellen offenzulegen, und zwar auch in der Zukunft. Nur dann sei der Messaging-Anbieter bereit, Cellebrite über die Sicherheitslücke zu informieren.

Marlinspike wirft Cellebrite zudem vor, unerlaubt Software und geistiges Eigentum Dritter zu benutzen. So soll Cellebrite unter anderem zwei Installer von Apple einsetzen, um Daten von iOS-Geräten zu extrahieren. “Es erscheint uns unwahrscheinlich, dass Apple Cellebrite eine Lizenz zum Weitervertrieb und zur Einbindung von Apple DLLs in das eigene Produkt erteilt hat, so dass dies ein rechtliches Risiko für Cellebrite und seine Anwender darstellen könnte.”

Darüber hinaus kündigte Signal zumindest indirekt an, die Schwachstelle in den Cellebrite-Werkzeugen auszunutzen. “Kommende Versionen von Signal werden periodisch Dateien abrufen, um sie im App-Speicher abzulegen. Diese Dateien werden nie für irgendetwas innerhalb von Signal verwendet und interagieren nie mit Signal-Software oder -Daten, aber sie sehen schön aus, und Ästhetik ist wichtig bei Software. Wir haben verschiedene Versionen von Dateien, die wir für ästhetisch ansprechend halten, und werden diese im Laufe der Zeit nach und nach überarbeiten. Es gibt keine weitere Bedeutung für diese Dateien.”

Signal und Cellebrite waren bereits Ende 2020 aneinandergeraten. Auslöser war die Behauptung von Cellebrite, es könne die Verschlüsselung des Signal-Messengers knacken. “Cellebrite hat etwas mit vielen Details gepostet, es dann schnell zurückgenommen und durch etwas ersetzt, das keine Details enthält”, kritisierte Marlinspike im Dezember. “Das liegt nicht daran, dass sie irgendetwas über irgendeine superfortgeschrittene Technik, die sie entwickelt haben, ‘enthüllt’ haben. Sie haben es aus genau dem gegenteiligen Grund heruntergenommen: Es hat sie schlecht aussehen lassen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

15 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago