Der Datendiebstahl vom iPhone des Amazon-Gründers Jeff Bezos soll unter dem Mitwissen hochrangiger saudischer Offizieller stattgefunden haben, heißt es in den jüngsten Berichten zur Causa. In die Wege geleitet worden sein soll er über ein Video, das Kronprinz Mohammed bin Salman per Whatsapp an den amerikanischen Manager geschickt hat. Die saudische Regierung hat die Vorwürfe als "absurd" zurückgewiesen und fordert ihrerseits eine Untersuchung.

Ein "Vice Motherboard" vorliegender Bericht von FTI Consulting bringt nun etwas Licht ins Dunkel darüber, wie der Hack abgelaufen ist. Das Unternehmen hat das Handy von Bezos zwei Tage lang untersucht.

Massiver Anstieg der Datenübertragung nach Empfang von Video

In der Aufarbeitung spielt das Video ebenfalls eine prominente Rolle. Bin Salman hatte dem Amazon-Chef am 1. Mai 2018 ein Werbevideo in arabischer Sprache geschickt, in dem es um Telekommunikation geht. Das offenbar unaufgefordert, denn aus der Whatsapp-Konversation ging nicht hervor, dass man sich vorher darüber unterhalten hätte.

Bekannte Malware konnte man auf dem Handy nicht finden. Auf die Spur des Videos kam man allerdings durch die Analyse des Sendeverhaltens. Während das Telefon zuvor einen Datenausstoß von im Schnitt 430 Kilobyte pro Tag hatte, stieg dieser danach schlagartig auf 101 Megabyte pro Tag an.

Seltsame Nachrichten

Im weiteren Verlauf fand man eigentümliche Nachrichten, die von dem dem Kronprinz zugeordneten Konto an Bezos geschickt wurden. Am 8. November erhielt er ohne ersichtlichen Kontext das Foto einer Frau zugesandt, die Lauren Sánchez ähnelt, mit der Bezos damals eine geheime Affäre hatte – was damals noch nicht bekannt war.

Am 16. Februar wiederum erhielt Bezos kurz nach einem Briefing, in dem er über eine mögliche saudische Onlinekampagne gegen ihn informiert wurde, eine Textnachricht. In dieser wurde ihm mitgeteilt, er solle nicht alles glauben, was ihm gesagt werde.

Gefährliche Beifracht

Wie sich herausstellte, wurde zusätzlich zum Video eine verschlüsselte Downloadsoftware über die Whatsapp-Server mitgeschickt. Diese soll in weiterer Folge für das Absaugen von Daten von Bezos' Handy genutzt worden sein.

Dabei könnte es sich um ein Werkzeug der NSO Group handeln. Im Bericht der Forensiker wird dem israelischen Unternehmen zwar nicht direkt die Schuld zugeschoben, aber erwähnt, dass ein von ihm entwickeltes Tool namens "Pegasus" wie auch "Galileo" vom Hacking Team in der Lage sei, sich verschleiert auf einem Gerät einzunisten, um Daten abzufangen oder zu extrahieren.

Enger Berater des Kronprinzen soll involviert sein

Die Experten gehen davon aus, dass die Software von Saud al Qahtani beschafft wurde, der für das Königshaus schon in der Vergangenheit entsprechende Tools eingekauft hat und ein Freund und enger Berater von Mohammed bin Salman ist. Er soll auch Teil einer Drohkampagne gegen den später in der saudischen Botschaft in Istanbul ermordeten Journalisten Jamal Khashoggi gewesen sein.

Bei der Auswertung stießen die Experten auch auf zwei Probleme. Sie konnten den Quellcode des Downloaders nicht untersuchen, da dieser verschlüsselt war. Und sie mussten das Handy auf Werkseinstellungen zurücksetzen, um das Passwort für das iTunes-Backup zu entfernen und Zugriff auf das Dateisystem sowie "relevante Daten und Artefakte" zu erhalten. Der Schritt wurde offenbar von Bezos genehmigt, was nahelegt, dass er selbst das Passwort vergessen hatte.

Kritik an Untersuchung

Ein Forensikexperte kritisiert gegenüber "Motherboard" die Untersuchung als unvollständig. Der Zugriff auf das Backup brächte nur Zugang zu Nachrichten, Fotos, Kontakten und anderen Dateien aus verschiedenen Apps, aber nicht auf das komplette Dateisystem. Die FTI-Experten halten in ihrem Report fest, dass dazu ein sogenannter Jailbreak – also das Umgehen von Sicherheitsmechanismen zur Erlangung von vollem Zugriff – notwendig gewesen wäre. Ob ihnen dies möglich gewesen wäre oder durchgeführt wurde, bleibt offen.

Auch andere Mitglieder der Sicherheitscommunity sehen die Vorgangsweise von FTI als kritisch. Darunter etwa den Einsatz eines eigens angeschafften Forensiktools von Cellebrite, ohne vorher ein Image des Dateisystem (also eine unveränderte Kopie) zu haben. Vorgeworfen wird dem Unternehmen auch, in seinem Bericht mehrmals Schlussfolgerungen zu ziehen, die sich aus den gefundenen Daten nicht ableiten lassen. (gpi, 23.1.2020)