Jeff Bezos gehackt: Forensische Analyse weniger ausführlich als möglich
Die Forensiker, die das mutmaßlich gehackte Smartphone von Jeff Bezos untersucht haben, haben wohl nicht alle Mittel ausgeschöpft. Ihr Report ist öffentlich.
Die Forensiker, die das Smartphone von Jeff Bezos untersucht haben und zu dem Schluss gekommen sind, dass das Gerät über einen Account des saudi-arabischen Kronprinzen gehackt wurde, haben bei ihrer Arbeit offenbar nicht alle Möglichkeiten ausgenutzt. Das zumindest legt ein Bericht der Sicherheitsexperten von FTI Consulting nahe, der vom US-Magazin Vice veröffentlicht wurde und im November 2019 erstellt wurde.
Darin wird erläutert, wie die Techniker vorgegangen sind und wie sie zu dem Ergebnis gekommen sind, Bezos' Smartphone sei "mit mittlerer bis hoher Sicherheit" über ein Video kompromittiert worden, das von einem Account des saudischen Kronprinzen gekommen war.
Untersuchung erst Monate nach dem Hack
Aus dem Bericht (Download) , dessen Echtheit ein Sprecher von FTI gegenüber heise online weder bestätigen noch verneinen wollte, geht hervor, dass die Firma erst am 24. Februar 2019 den Auftrag erhalten hatte, das iPhone X (Modell A1901) des Amazon-Chefs forensisch zu untersuchen. Der dann entdeckte, mutmaßliche Hack lag da bereits über acht Monate in der Vergangenheit. Unter anderem mit Technik der Firma Cellebrite untersuchten sie dann das Smartphone, das aber erst am 18. Mai 2019 auch tatsächlich bei FTI eintraf. Der Hack war da bereits über ein Jahr alt. Für die gesamte Analyse nahmen sich die Forensiker demnach in speziell abgesicherten Räumlichkeiten drei Tage Zeit.
Spuren von Malware haben die Experten laut ihren Angaben nicht gefunden, aber eine Reihe von Indizien, die auf den Hack und die Verantwortlichen hindeuten. So erläutern sie, dass Jeff Bezos am 4. April 2018 mit dem saudischen Kronprinzen Mohammed bin Salman Handynummern ausgetauscht und über WhatsApp Kontakt aufgenommen hatte. Ohne Erklärung sei dann am 1. Mai über diesen Chat eine Videodatei gekommen, "scheinbar" ein Werbefilm in arabischer Sprache. Die empfangene Datei sei etwas größer gewesen, als das Video selbst. Im November 2019 hatte WhatsApp eine Lücke in älteren Versionen eingestanden, die über präparierte MP4-Dateien ausnutzbar war.
Nicht so ausführlich wie möglich
Auf Twitter hat Alex Stamos, der Ex-Sicherheitschef von Facebook, zu dem WhatsApp gehört, Gedanken zu dieser Analyse veröffentlicht. Das beschriebene Verhalten sei normal, aber er stellt die Frage, wie FTI zwar genug von dem Video für eine "flüchtige Analyse" gesehen habe, aber keine tiefergehende habe machen können. Wenn das Video der Angriffspunkt gewesen sei, dann müssten sich darin Beweise finden lassen. Stamos weist noch darauf hin, dass FTI offenbar keinen Kontakt zu WhatsApp aufgenommen habe, obwohl man da sicher hätte helfen können. "Der Gedanke, dass dieser Report das ausführlichste ist, was man mit Zugang zu dem Smartphone erstellen kann, ist falsch", meint er.
FTI erklärt dann ausführlich, dass sich nach dem Empfang des Videos das Verhalten des iPhones sichtbar geändert habe. So seien von dem Gerät vor dem 1. Mai 2018 im Schnitt 430 Kilobyte abgeflossen. Innerhalb von Stunden nach dem mutmaßlichen Hack sei dieser Wert auf 126 Megabyte gesprungen und habe sich dann bei rund 101 Megabyte eingependelt. Diese "nicht autorisierten Daten" seien über den Mobilfunk nach außen gegangen. Im Frühjahr 2019 sei dieser Wert noch einmal deutlich in die Höhe gegangen. Diese drastische Veränderung und zwei weitere Indizien präsentieren die Techniker als hinreichenden Beleg für den Hack.
Verdächtige Nachrichten vom Kronprinzen
So hat Jeff Bezos laut FTI am 8. November 2018 vom WhatsApp-Account des saudischen Kronprinzen das Foto einer Frau bekommen, "die Lauren Sanchez ähnelt". Mit dieser Frau hatte der Amazon-Chef eine zu diesem Zeitpunkt nicht öffentlich bekannte Affäre, die aber über einen Blick in das Smartphone erkennbar gewesen wäre. Ergänzt wurde das Foto demnach von dem Text: "Mit einer Frau streiten, ist wie die Nutzungsbedingungen zu lesen. Am Ende musst du alles ignorieren und einfach 'Zustimmen' klicken."
Zwei Tage nachdem Bezos dann am 14. Februar 2019 ausführlich über eine saudische Online-Kampagne gegen ihn als Eigentümer der Washington Post informiert worden war, sei in dem Chat eine weitere Nachricht gekommen: "Jeff alles was du hörst oder was dir erzählt wurde ist nicht wahr und es ist eine Frage der Zeit dass du die Wahrheit erfährst: Es gibt nichts gegen dich oder Amazon von mir oder Saudi-Arabien". Beides führt FTI als Beweis an, dass bin Salman über Informationen aus dem iPhone verfügte.
Die so zusammengetragenen Informationen belegen den Vorwurf gegen Saudi-Arabien, aber es ist unklar, warum FTI nicht noch viel mehr herausgefunden hat. So hatten die Techniker offenbar keinen Zugang zum verschlüsselten iCloud-Backup, womöglich weil Bezos sein Passwort vergessen hatte. Während solch ein Zugang aber sowieso nicht viel neues ans Licht gebracht haben dürfte, sieht das mit einem Jailbreak des Geräts anders aus. Den hatte FTI zu dem Zeitpunkt des Reports aber erst noch vor. Gegenüber Vice haben Sicherheitsexperten darauf hingewiesen, dass sich erst in den so zugänglichen Bereichen des iPhones Hinweise auf die Malware finden würden. Außerdem wollte FTI das Verhalten des iPhones abseits vom WLAN mit Mobilfunkverbindung untersuchen.
..
(mho)