Cellebrite-Software knackt Android-Smartphone
von caschy | 44 Kommentare
Wer nicht unter einem Stein lebt, der hat die Ereignisse rund um das Trump-Attentat in den USA sicher mitbekommen. Das Telefon des Schützen wurde nach seinem Tod sichergestellt und Forscher machten sich daran, dieses zu knacken. Nun wurden bei Bloomberg Details bekannt, die sich fast so lesen, als kämen sie aus der PR-Abteilung des Unternehmens Cellebrite.
Am Sonntagmorgen konnte das FBI laut Informantenangaben nicht auf das Smartphone zugreifen und wandte sich daher direkt an Cellebrite. Das in Israel gegründete Unternehmen für digitale Geheimdienste versorgt mehrere Bundesbehörden in den USA mit technologischen Lösungen. FBI-Mitarbeiter wollten die Daten des Geräts nutzen, um die Beweggründe für die Schießerei bei einer Kundgebung in Bethel Park, Pennsylvania zu ergründen. Dabei erlitt Trump eine Ohrverletzung und ein Zuschauer wurde getötet.
Das örtliche FBI-Büro in Pittsburgh hatte laut Bericht eine Lizenz für die Cellebrite-Software, mit der Strafverfolgungsbehörden den Passcode eines Telefons herausfinden oder umgehen können. Jedoch funktionierte die Software nicht mit dem Gerät des Schützen. Die Bloomberg-Quellen behaupten, dass der verstorbene Schütze ein neueres Samsung-Modell mit dem Betriebssystem Android besaß.
Long story short: Die alte Software knackte das Smartphone nicht, woraufhin man sich an Cellebrite wandte. Die gaben wohl sowohl technischen Support als auch eine Vorabversion der Software an das FBI raus. Nachdem das FBI über das Cellebrite-Softwareupdate verfügte, dauerte das Entsperren des Telefons 40 Minuten.
Es geht hier nicht darum, um über Android- oder Samsung-Smartphones zu berichten und diese als weniger sicher zu beurteilen. Nicht klar ist, wie das Smartphone gesichert war. Allerdings ist es natürlich unschön zu wissen, dass es Möglichkeiten gibt, recht flott in Smartphones zu kommen, auch wenn diese nicht beschrieben werden. Letzten Endes ist das Ganze ein Katz-und-Maus-Spiel zwischen Herstellern der Smartphones / der Software und den Knackern. Zu hoffen bleibt, dass letzten Endes der Kunde durch mehr Sicherheit profitiert. Cellebrite sagte mal aus, dass seine Software nur in gesetzlich genehmigten Fällen zum Entsperren beschlagnahmter Telefone und niemals zur Überwachung verwendet wird.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Bruteforce des 6-stelligen PINs und gleichzeitig den Mechanismen blockieren, der bei Fehleingaben die Wartezeit erhöht oder gar das Phone komplett sperren würde.
Mich wundert nur, warum sie nicht den Finger oder das Gesicht verwendet haben.
„Mechanismen blockieren, der bei Fehleingaben die Wartezeit erhöht oder gar das Phone komplett sperren würde“
Das ist ja genau das, was Brute-Force verhindern soll. Wenn man das programmatisch umgehen könnte, könnte man es auch gleich lassen.
Man kann das Gerät ggfls. Klonen, schon kann man so oft probieren wie man möchte.
Das Gerät war sicherlich ausgeschaltet, sonst wäre es kein Problem gewesen, auf das Gerät zuzugreifen. Wenn das Gerät ausgeschaltet ist, ist ein Entsperren per Fingerabdruck oder Gesicht erst nach PIN bzw. Passwort Eingabe möglich.
Mit dem Vorgehen wirst du sicherlich Recht haben. Ich könnte mir vorstellen, dass das Update lediglich dafür gesorgt hat, dass das Limit bei der PIN Eingabe ausgehebelt wurde.
Hatte der Attentäter nicht ein ein iPhone?
Artikel wirklich gelesen?
„ Die Bloomberg-Quellen behaupten, dass der verstorbene Schütze ein neueres Samsung-Modell mit dem Betriebssystem Android besaß.“
Cellebrite kann auch iOS knacken, bis zum iPhone X sogar jede iOS Version. Neuere iPhones nur gewisse iOS versionen oder aktuell noch gar nicht. Jedoch würde das FBI da sicher ebenfalls Vorab-Software erhalten, welche aktuellere Hardware/Software-Versionen Supporten und knacken.
Also sicherer ist iOS in diesem Bereich gegenüber Android kaum oder gar nicht.
Ein neueres Samsung und ein sieben Jahre altes iPhone sicherheitstechnisch gleichzusetzen spricht da aber eher nicht für ersteres.
Alles bis zum iPhone 14 mit iOS >= 17.3 war im April 2024 durch Celebrite knackbar. Da ist nichts mit 7 Jahre altem iPhone.
Neu ist relativ, und das iPhone 11 ist nicht 7 Jahre alt sondern 4,5. Plus auch neuere sind Betroffen, plus wurde bei Samsung eine Alpha oder Beta software benutzt. wer weiss, ob die nicht auch neuere iPhone knacken kann?
Wenn man sich die Tabellen von Cellebrite ansieht, dann kann man definitiv sagen, dass Samsung Phones unsicherer sind. Die einzig sichere Kombination im Android Lager ist Google Pixel (ab dem 6er) + GrapheneOS.
Offensichtlich wurden die Tabellen fehlinterpretriert. Immerhin konnten die Behörden mit der aktuellen Version ein neueres (also nicht das neuste) Samsung knacken. Dafür brauchten sie eine Vorabversion.
Die Schlussfolgerung halte ich für falsch. Ein PIN ist (neuere Pixel Geräte zum jetzigen Zeitpunkt ausgeschlossen) generell unsicher. Ein sicheres Passwort wäre die weitaus bessere Wahl.
Dann noch die Unterscheidung zwischen AFU und BFU, wobei man sagen kann, dass AFU unsicher ist.
Ein Gerät im Zustand BFU in Kombination mit einer PIN sollte auch relativ schnell zu knacken sein, sofern es möglich ist, das Limit für die PIN Eingabe auszuhebeln (Dies ist bei aktuellen Pixel Geräten noch nicht möglich).
Sicher ist generell nur die Kombination aus einem aktuellen Gerät, Zustand BFU und einem sicheren Passwort. Da hilft dann auch kein Brute Force Angriff mehr.
AFU ist jedes Gerät, sobald du dich einmal eingeloggt hast. Niemand trägt ein ausgeschaltetes Gerät bei sich.
Ich habe mein Smartphone des Öfteren ausgeschaltet bei mir, aber damit bin ich sicherlich die Ausnahme.
Allerdings war das Gerät anscheinend ebenfalls ausgeschaltet und somit Im Zustand BFU.
Man muss sein Gerät aber nicht zwangsläufig ausgeschaltet mit sich herum tragen.
GrapheneOS bietet zum Beispiel die Funktion an, das Smartphone nach einer bestimmten Zeit, wenn es X Minuten nicht entsperrt wurde, automatisch neu zu starten. Damit würde das Smartphone automatisch in den BFU Zustand versetzt werden, selbst wenn es schon in den Händen von Strafverfolgungsbehörden ist.
Ich weiß, dass das in diesem speziellen Fall nicht relevant ist, wollte es aber trotzdem mal erwähnen. Vielleicht erhält die Funktion ja doch noch mal Einzug in Google Android. Wünschenswert wäre es.
Nette Spielerei aber an meinem Pixel 7a beißt sich deren Software die Zähne aus.
Grundsätzlich habe ich noch nie gehört das Pixel-Smartphones geknackt wurden.
Kürzlich kam sogar ein Bericht wo beschrieben wurde dass die Pixel ein ähnliches Sicherheits-Niveau erreichen wie IOS.
Meine persönliche Empfehlung:
Wer auf Sicherheit unter Android Wert legt sollte ein Pixel in Erwägung ziehen.
Lieben Gruß
Soll das Satire sein?
Inwiefern? Wirkt so, als wenn es ernstgemeint ist.
Cellenebrite kann es nicht knacken, Google mit Sicherheit aber doch, nur werden wir das wohl nicht zu lesen bekommen!
Genau wie bei aktuellen Iphones, ne?
Offensichtlich haben die Pixel-Geräte sogar ein höheres Sicherheitsniveau, wenn man bedenkt, dass iPhones bis hin zum 14er schon aufgemacht wurden.
In der Tat sind Pixel-Phones selbst für Cellebrite aktuell Zahn-Ausbeiß-Garanten
Wo steht denn sowas? Alle iPhones mit aktueller iOS 17.4 Version sind noch nicht von Cellebrite knackbar.
Das sieht bei android – auch bei Pixel Modellen, ganz anders aus. Oder habe ich andere Tabellen? Meine Quelle: https://cybersecuritynews.com/phones-cellebrite-tool-can-unlock/
Nein, aber andere Interpretation. Pixel = kein Passwortknacken möglich, und zwar seit knapp 3 Jahren (scheint also ein Hardware-Design zu sein). iPhones mit iOS 17.3 wurden alle schon aufgemacht, scheint also mit der iOS 17.4 ein Software-Design zu sein. Daher ist es eher anzunehmen, dass Celebrite eher die 17.4 knacken wird als das Pixel-Design. Und da die Tabellen von April sind, was mittlerweile schon 4 1/2 Monate zurück liegt, ist es eben wahrscheinlicher, dass ein iPhone mit 17.4 geknackt wird als das Pixel 6 – 8.
Es ist eigentlich schon länger bekannt, dass das Unternehmen Cellebrite, mit z.B. der Software Inseyets Strafverfolgungsbehörden unterstützt. Egal ob es sich dabei um Android oder IOS handelt – Sie können beides knacken.
Wahnsinn. Wenngleich es in dem Fall gut sein mag, dass die das Telefon so schnell entschlüsseln konnten, macht das doch sehr nachdenklich.
P.S.: „Schießerei“ und „Ohrverletzung“ ist ein interessantes Wording.
Hier ein Statement von GraphenOS
Link vergessen:
https://discuss.grapheneos.org/d/12848-claims-made-by-forensics-companies-their-capabilities-and-how-grapheneos-fares
Danke! Das war in der Tat sehr lehrreich und revidiert ein Stück weit meine Einschätzung aus meinem anderen Kommentar. Ich nutze nämlich GrapheneOS.
Die Verschlüsselung von Smartphones kann noch so sicher sein – wenn die genutzten Passwörter 4- bis 5-stellige Zahlencodes sind, wie wohl bei den meisten Anwendern der Fall, lässt sich selbst die beste Verschlüsselung innerhalb kürzester Zeit per Brute-Force entschlüsseln (ich sage hier bewusst nicht „knacken“).
Nö. Nach 10 Falscheingaben, wird mein iPhone gelöscht.
Und bei Android brauchts gar keinen solchen PIN mehr, zumindest beim Pixel.
Ich habe die PIN mit einem langen Password ersetzt. Das Password muss man sowieso meistens nur bei einem boot/reboot eingeben. Ich gehe davon aus, dass der Täter sein Smartphone aus hatte und somit eine Entsperrung mittels Biometrie nicht möglich war und man mit Brutforce die PIN erraten musste. Wenn die PIN nur 4-stellig war dann ist es nicht wirklich aufwendig diese innerhalb einer Stunde zu erraten. Die Software von Cellebrite kann unendliche Kopien der verschlüsselten Image machen und somit die 3-Versuche-Sperre / Datenlöschung zu umgehen.
Nunja, seit der flächendeckenden Einführung von diesen fürchterlichen In-Screen Fingerabdruckscannern muss ich leider mein Passwort deutlich häufiger eingeben als früher, wo das Teil noch auf der Rückseite saß. Keine Ahnung, ob’s an meinen Fingern liegt, aber bei mir funktionieren die selten bei ersten Versuch – und wenn feuchtes Wetter ist kann ich’s ganz vergessen und muss wieder den PIN tippen.
Wenn es eh unendlich Images zieht und auf mehreren Systemen gleichzeitig die Images durchprobiert, dann ist es egal ob PIN oder Passwort, dauert dann wahrscheinlich ein paar Minuten länger.
Nun, ein Alphanummerisches Passwort mit mindestens 11 Zeichen inlusive Sonderzeichen, Groß- und Kleinschreibung zieht eine Bruteforce-Attacke wesentlich in die Länge und kann mehrere hundert Jahre dauern bis man die Daten entschlüsselt. Siehe diese Tabelle -> https://i.redd.it/5g3ayy7pwxl51.jpg
Ist das gesichert mit den Images des Gerätes? Das würde das Vorgehen erklären. Oft sind es ja solche Maßnahmen, die sicherheitsfunktionen aushebeln.
Interessant an solchen Attacken ist oft, wie raffiniert die Programme vorgehen. Die Idee von unendlichen Kopien ist total logisch, wäre ich aber nicht drauf gekommen.
Da gilt die Regel, wozu Code disassemblieren, wenn andere Dinge einfacher sind. Vielleicht greifen sie irgendwie von außen auf den Speicher zu sind Booten diese direkt in VMs.
Das würde auch erklären, warum GraphenOS nicht angreifbar ist, weil die den USB-Port bis zum Login sperren.
So schauts aus. LineageOs hat aber was ähnliches unter Sicherheit & Datenschutz > Trust > USB beschränken.
Wie sieht es eigentlich aus bei alphanumerische Passwörter aus? Würde zugern wissen, wie lange man dafür bräuchte für ein 12 stelliges alphanumerisches Passwort.
Schau mal weiter oben, da hat Manuel um 22:28 Uhr ein Bild gepostet, auf dem aufgelistet ist, wieviel Zeit benötigt wird, um die unterschiedlichen Passwortlängen und -kombinationen zu entschlüsseln.
Hat nicht beispielsweise Apple nicht vor Jahren einen USB Restricted Mode eingeführt, der genau solche externen „Gerätschaften“ eigentlich nach einer Stunde aussperren sollte? Das war wohl nicht besonders effektiv?
Was Apple mit dem verwendeten Samsung Telefon des Täters zu tun hat, verstehe ich zumindest nicht.
die Überschrift sagt Android, aber wenn man bei den Quellen schaut steht auch das sie alle iPhones bis auf das aktuellste und die aktuellste iOS Version knacken können