2482864

So hackten die Saudis das iPhone X von Jeff Bezos

23.01.2020 | 17:26 Uhr | Stephan Wiesend

Das Smartphone des Amazon-Gründers soll mit einer Whatsapp-Nachricht des saudischen Kronprinzen gezielt gehackt worden sein.

Über die Erpressungsaffäre um Jeff Bezos ist schon viel geschrieben worden. Neue Berichte zeigen aber nun, dass der Hack des iPhones weit enger mit dem saudischen Kronprinz verbunden ist als bekannt. Zur Vorgeschichte: Der verheiratete Amazon-Gründer und Besitzer der Washington Post wurde mit privaten Fotos über eine Affäre erpresst. Er machte dies öffentlich, dies führte aber zur 36-Milliarden-Scheidung von seiner Frau MacKenzie. Schon im letzten März berichteten Medien, Saudis hätte sein Smartphone gehackt und ihn mit privaten Fotos einer geheimen Affäre erpresst, um die kritische Berichterstattung über ihr Land in der Washington Post zu beeinflussen.

Es ist bekannt, dass Saudi-Arabien in früheren Fällen die Spyware Pegasus der israelischen Firma NSO Group für die Überwachung von Dissidenten genutzt hat, aber auch die Zusammenarbeit mit dem Hacking Team ist bekannt. Medien wie Vice , NYT und Guardian haben nun näheres dazu erfahren, wie dieser Hack wohl abgelaufen ist. Offensichtlich handelte es sich um einen sogenannten Advanced Persistent Threat (APT): Eine Malware wurde auf das Smartphone von Bezos übertragen und leitete heimlich private Daten an die Angreifer weiter.

Die Untersuchung fand Februar 2019 statt. Kurz nachdem "The National Enquirer" gedroht hatte „intimate photos“ von Bezos zu veröffentlichen, beauftragte Bezos nämlich die Firma FTI Consulting, sein privates iPhone X zu untersuchen – von dem diese Fotos offensichtlich stammten. Der Bericht dieser Untersuchungen wurde nun veröffentlicht und verrät interessante technische Hintergründe.

Whatsapp-Nachricht vom Kronprinzen

Wie gelang aber die Spyware auf das private Gerät von Bezos? Die Techniker vermuteten, dass das Smartphone durch eine einzelne Whatsapp-Botschaft gehackt wurde. Bezos hatte den Kronprinzen (oft auch MBS genannt), am 4. April 2018 bei einem Dinner in Los Angeles getroffen und Mobilfunknummern ausgetauscht. Er erhielt dann in den folgenden Tagen gelegentlich von MBS Whatsapp-Nachrichten über diese Telefonnummer – am ersten Mai folgte dann auch eine Videodatei. Was auffiel: Das relativ kleine Video wurde von einem Downloader auf einem Whatsapp-Mediaserver ausgeliefert. Dieser war über die durchgehende Verschlüsselung von Whatsapp verschlüsselt und konnte von der Forensik-Firma deshalb nicht weiter analysiert werden.

Dass es sich aber wohl um die gesuchte Malware handelte, zeige laut Bericht eine auffällige Verhaltensänderung des iPhones: Kurz nach Erhalt des kommentarlos zugeschickten und völlig belanglosen Videos (ein arabisches Video zum Thema Telekommunikation) begann das iPhone heimlich riesige Mengen an Daten zu versenden. Während das iPhone bzw. Bezos durchschnittlich 430 KB pro Tag hochlud, erhöhte sich die Datenmenge, im Bericht Egress Data genannt, plötzlich auf durchschnittlich 101 MB an Daten. Ein Spitzenwert von sogar 4,6 GB wurde dann 2019 erzielt. Die Forensiker von der FTI sind sich deshalb sicher, dass das iPhone durch die Whatsapp-Nachricht gehackt wurde und die Angreifer über Monate so Fotos, Nachrichten, E-Mail und vielleicht auch Sprachaufnahmen abriefen.

Die Spyware oder Spuren der APT selbst wurden allerdings in der ersten Untersuchung nicht gefunden. Hier erwies sich für die Techniker die Verschlüsselung von iOS als zu großes Hindernis. Die Techniker nutzten für ihre Untersuchung mehrere Tools der Forensik-Software Cellebrite, die eine Kopie des Dateisystems ermöglicht. Für einen Zugriff auf das Root-System wäre aber eine zweite Untersuchung inklusive Jailbreak des iPhones notwendig, zudem war eine Analyse des verschlüsselten Video-Downloaders in der ersten Untersuchung noch nicht möglich.

Unsere Meinung:

Einige Fragen bleiben offen, so ist das fehlende Aufspüren der Malware selbst unbefriedigend. Ob noch weitere Analysen folgten, ist ebenfalls nicht bekannt. Allerdings war der Urheber des Angriffs ja bekannt und eindeutige Beweise gar nicht erforderlich oder erwünscht. Von Amazon etwa gibt es bisher keinen Kommentar zu den Geschehnissen, laut Guardian wollten aber auch Tim Cook, Nadella und andere Befragten dies nicht kommentieren . Die persönliche Verwicklung des Kronprinzen gibt dem Vorfall schließlich eine besondere Brisanz. Wichtig ist der Vorfall schließlich auch im Zusammenhang mit dem Fall des ermordeten Jamal Kashoggi, waren doch dessen Artikel die Ursache für die Angriffe gegen Bezos. Hier gibt es weiter laufende Ermittlungen durch die UN. In Saudi-Arabien gab es dagegen bereits eine offizielle Untersuchung, die zu einigen Prozessen und Hinrichtungen führte. So scheint etwa der verantwortliche Sicherheitschef Saud al-Qahtani nicht mehr in der Öffentlichkeit aufzutreten, es gibt sogar Vermutungen, er wäre nicht mehr am Leben.

Einen irritierenden Eindruck hinterlassen nach unserer Meinung hier allerdings auch die Sicherheitsfunktionen von Facebook und Apple: So wurde das iPhone über Whatsapp gehackt, zudem schützte dessen verschlüsselte Kommunikation offenbar Hacker vor der Entdeckung. Auch die Sicherheit des iPhones kann hier nicht völlig überzeugen: Machte doch das verschlüsselte System von iOS den Forensikern schwer und schützte die Malware vor der Entdeckung.

Macwelt Marktplatz

2482864