Analyse zeigt, wie Amazon-Chef Bezos ausspioniert wurde
Analyse zeigt, wie Amazon-Chef Bezos ausspioniert wurde
Das Unternehmen, das das Handy zwei Tage lang
untersucht hatte, stellte einen deutlichen Anstieg der Datenübertragung
nach der Übermittlung eines Videos per Whatsapp fest
23. Jänner 2020, 10:12
106 Postings
Nach dem Empfang eines Videos per Whatsapp
soll Bezos' Handy plötzlich deutlich mehr Daten übertragen haben.
Foto: Reuters
Der Datendiebstahl vom iPhone des
Amazon-Gründers Jeff Bezos soll unter dem Mitwissen hochrangiger
saudischer Offizieller stattgefunden haben, heißt es in den jüngsten
Berichten zur Causa. In die Wege geleitet worden sein soll er über ein
Video, das Kronprinz Mohammed bin Salman per Whatsapp an den
amerikanischen Manager geschickt hat. Die saudische Regierung hat die
Vorwürfe als "absurd" zurückgewiesen und fordert ihrerseits eine
Untersuchung.
Ein "Vice Motherboard" vorliegender Bericht
von FTI Consulting bringt nun etwas Licht ins Dunkel darüber, wie der
Hack abgelaufen ist. Das Unternehmen hat das Handy von Bezos zwei Tage
lang untersucht.
Massiver Anstieg der Datenübertragung nach
Empfang von Video
In der Aufarbeitung spielt das Video
ebenfalls eine prominente Rolle. Bin Salman hatte dem Amazon-Chef am 1.
Mai 2018 ein Werbevideo in arabischer Sprache geschickt, in dem es um
Telekommunikation geht. Das offenbar unaufgefordert, denn aus der
Whatsapp-Konversation ging nicht hervor, dass man sich vorher darüber
unterhalten hätte.
Bekannte Malware konnte man auf dem Handy
nicht finden. Auf die Spur des Videos kam man allerdings durch die
Analyse des Sendeverhaltens. Während das Telefon zuvor einen
Datenausstoß von im Schnitt 430 Kilobyte pro Tag hatte, stieg dieser
danach schlagartig auf 101 Megabyte pro Tag an.
Seltsame Nachrichten
Im weiteren Verlauf fand man eigentümliche
Nachrichten, die von dem dem Kronprinz zugeordneten Konto an Bezos
geschickt wurden. Am 8. November erhielt er ohne ersichtlichen Kontext
das Foto einer Frau zugesandt, die Lauren Sánchez ähnelt, mit der Bezos
damals eine geheime Affäre hatte – was damals noch nicht bekannt war.
Am 16. Februar wiederum erhielt Bezos kurz
nach einem Briefing, in dem er über eine mögliche saudische
Onlinekampagne gegen ihn informiert wurde, eine Textnachricht. In dieser
wurde ihm mitgeteilt, er solle nicht alles glauben, was ihm gesagt
werde.
Gefährliche Beifracht
Wie sich herausstellte, wurde zusätzlich zum
Video eine verschlüsselte Downloadsoftware über die Whatsapp-Server
mitgeschickt. Diese soll in weiterer Folge für das Absaugen von Daten
von Bezos' Handy genutzt worden sein.
Dabei könnte es sich um ein Werkzeug der NSO
Group handeln. Im Bericht der Forensiker wird dem israelischen
Unternehmen zwar nicht direkt die Schuld zugeschoben, aber erwähnt, dass
ein von ihm entwickeltes Tool namens "Pegasus" wie auch "Galileo"
vom
Hacking Team in der Lage sei, sich verschleiert auf einem Gerät
einzunisten, um Daten abzufangen oder zu extrahieren.
Enger Berater des Kronprinzen soll involviert
sein
Die Experten gehen davon aus, dass die
Software von Saud al Qahtani beschafft wurde, der für das Königshaus
schon in der Vergangenheit entsprechende Tools eingekauft hat und ein
Freund und enger Berater von Mohammed bin Salman ist. Er soll auch Teil
einer Drohkampagne gegen den später in der saudischen Botschaft in
Istanbul ermordeten Journalisten Jamal Khashoggi gewesen sein.
Bei der Auswertung stießen die Experten auch
auf zwei Probleme. Sie konnten den Quellcode des Downloaders nicht
untersuchen, da dieser verschlüsselt war. Und sie mussten das Handy auf
Werkseinstellungen zurücksetzen, um das Passwort für das iTunes-Backup
zu entfernen und Zugriff auf das Dateisystem sowie "relevante Daten und
Artefakte" zu erhalten. Der Schritt wurde offenbar von Bezos genehmigt,
was nahelegt, dass er selbst das Passwort vergessen hatte.
Kritik an Untersuchung
Ein Forensikexperte kritisiert gegenüber
"Motherboard" die Untersuchung als unvollständig. Der Zugriff auf das
Backup brächte nur Zugang zu Nachrichten, Fotos, Kontakten und anderen
Dateien aus verschiedenen Apps, aber nicht auf das komplette
Dateisystem. Die FTI-Experten halten in ihrem Report fest, dass dazu ein
sogenannter Jailbreak – also das Umgehen von Sicherheitsmechanismen zur
Erlangung von vollem Zugriff – notwendig gewesen wäre. Ob ihnen dies
möglich gewesen wäre oder durchgeführt wurde, bleibt offen.
Auch andere Mitglieder der
Sicherheitscommunity sehen die Vorgangsweise von FTI als kritisch.
Darunter etwa den Einsatz eines eigens angeschafften Forensiktools von
Cellebrite, ohne vorher ein Image des Dateisystem (also eine
unveränderte Kopie) zu haben. Vorgeworfen wird dem Unternehmen auch, in
seinem Bericht mehrmals Schlussfolgerungen zu ziehen, die sich aus den
gefundenen Daten nicht ableiten lassen. (gpi, 23.1.2020)
Links
https://www.derstandard.at/story/2000113643648/analysten-zeigen-wie-amazon-chef-bezos-ausspioniert-wurde