Signal-Entwickler hackt Spionagetools von FBI-Zulieferer Cellebrite
Grobe Sicherheitslücken, illegal kopierter Code und Zweifel an der forensischen Verwertbarkeit - Video zeigt Einschmuggeln von SchadcodeDer Signal-Erfinder Moxie Marlinspike hat sich die Spionagesoftware von Cellebrite näher angesehen. Und was er dort gefunden und jetzt in einem Blogeintrag öffentlich gemacht hat, dürfte dem Unternehmen wenig gefallen. Hat er doch eine Fülle an leicht ausnutzbaren Sicherheitslücken sowie strukturellen Defiziten entdeckt. Jenes Unternehmen, das sich gerne damit brüstet, die Smartphones praktisch aller Hersteller hacken zu können, scheint es also selbst mit der Sicherheit des eigenen Codes nicht sonderlich ernst zu nehmen.
Dass es sich dabei nicht bloß um theoretische Defizite handelt, demonstriert Marlinspike mithilfe eines Videos. In diesem ist zunächst zu sehen, wie mit dem Cellebrite-Tool UFED ein iPhone analysiert werden soll. Dies geht allerdings gehörig nach hinten los. Durch eine speziell formatierte Datei auf dem Smartphone wird eine Sicherheitslücke in der Cellebrite-Software ausgenutzt, über die Schadcode auf den zur Analyse genutzten Rechner eingebracht werden kann. In diesem Fall hat sich Marlinspike allerdings darauf beschränkt, stattdessen einfach ein bekanntes Zitat aus dem Nerd-Klassiker "Hackers" anzuzeigen.
Generell betont Marlinspike, dass UFED und ein zweites Celebrite-Tool namens "Physical Analyzer" selbst die grundlegendsten Sicherheitsmaßnahmen vermissen lassen. So ist in der Software eine Version der Audio-/Video-Konvertierungssoftware FFMPEG enthalten, die aus dem Jahr 2012 stammt. Das heißt, dass alleine hier mehr als hundert bekannte Sicherheitslücken zu finden sind, die einfach ausgenutzt werden könnten. Angesichts dessen verwundere es auch nicht, dass sämtliche Anti-Exploit-Maßnahmen, die in der Branche längst Standard sind, bei der Cellebrite-Software fehlen. Das Sicherheitskonzept der Firma scheint also zu sein, darauf zu hoffen, dass die eigenen Tools nie in die Hände von Dritten kommen - was nun als gescheitert anzusehen ist.
Mehr dazu findest Du auf derstandard.at
Kurze URL:
Das könnte Dich auch interessieren:
Jeff Bezos, Andy Jassy und weitere Führungskräfte hätten über Signal für eine Kartellklage relevante Informationen ausgetauscht und wieder gelöscht, behauptet die FTC.
Der verschlüsselte Messenger behebt sein größtes verbliebenes Privatsphärenproblem. Zur Kontaktaufnahme werden nun Usernamen verwendet, aber auch diese sind nicht fix
Ähnliche News:
"Völlig unerwartet": NASA rätselt über Signal aus fremder Galaxie
Chatdienst Signal: Betrieb kostet 50 Millionen Dollar
Signal erlaubt nun das Löschen von Kontakten
Israel verstärkt GPS-Störsignale zum Schutz gegen Hamas-Drohnen
Signal: Beim verschlüsselten Messenger können nun Nachrichten nachträglich bearbeitet werden
Passagierflugzeuge werden durch gefälschte GPS-Signale in die Irre geleitet
Signal schützt Chats schon heute vor Quantencomputern
Cyberattacke: Funksignal sorgte für Vollbremsung von Zügen in Polen
Kein Cyberangriff: Angreifer hielt in Polen per Funksignal über 20 Züge an
Rätselhaftes Signal aus dem All taucht seit 1988 alle 22 Minuten auf
Chatdienst Signal: Betrieb kostet 50 Millionen Dollar
Signal erlaubt nun das Löschen von Kontakten
Israel verstärkt GPS-Störsignale zum Schutz gegen Hamas-Drohnen
Signal: Beim verschlüsselten Messenger können nun Nachrichten nachträglich bearbeitet werden
Passagierflugzeuge werden durch gefälschte GPS-Signale in die Irre geleitet
Signal schützt Chats schon heute vor Quantencomputern
Cyberattacke: Funksignal sorgte für Vollbremsung von Zügen in Polen
Kein Cyberangriff: Angreifer hielt in Polen per Funksignal über 20 Züge an
Rätselhaftes Signal aus dem All taucht seit 1988 alle 22 Minuten auf
Weitere News:
Video: So produziert Xiaomi sein Elektroauto
Nur in der EU: Safari auf iOS ermöglicht Device Tracking
DJI-Drohnen könnten Betriebsverbot erhalten
Laut Analysten: KI-PCs sollen 10 bis 15 Prozent teurer werden
Tesla verschweigt 82 Prozent der FSD- und Autopilotunfälle
EU verschärft Bedingungen für Modehändler Shein
MSI priorisiert nun Nvidia-Grafikkarten
Amazon-Führungskräfte zerstören angeblich Beweise via Signal
Die Polizei bekommt 2024 Bodycams für den Streifendienst
Elon Musk ist überzeugt, dass sein Roboter Optimus ein Verkaufshit wird
Nur in der EU: Safari auf iOS ermöglicht Device Tracking
DJI-Drohnen könnten Betriebsverbot erhalten
Laut Analysten: KI-PCs sollen 10 bis 15 Prozent teurer werden
Tesla verschweigt 82 Prozent der FSD- und Autopilotunfälle
EU verschärft Bedingungen für Modehändler Shein
MSI priorisiert nun Nvidia-Grafikkarten
Amazon-Führungskräfte zerstören angeblich Beweise via Signal
Die Polizei bekommt 2024 Bodycams für den Streifendienst
Elon Musk ist überzeugt, dass sein Roboter Optimus ein Verkaufshit wird
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024