Articles

Durchgesickerte Dateien zeigen, wie ein Cellebrite-Telefon-Extraktionsbericht aussieht

On Oktober 27, 2021 by

(Bild: Dateifoto)

Anfang dieses Jahres wurde uns eine Reihe großer, verschlüsselter Dateien zugesandt, die angeblich einer US-Polizeibehörde gehörten, nachdem eine Anwaltskanzlei ihre Sicherungssysteme ohne Passwort unsicher über das Internet synchronisiert hatte.

Unter den Dateien befand sich eine Reihe von Telefonauszügen, die von der Polizeibehörde mit Spezialausrüstung erstellt wurden, die von Cellebrite stammt, einem israelischen Unternehmen, das Technologie zum Abhören von Telefonen anbietet.

Das Unternehmen für digitale Forensik ist darauf spezialisiert, der Polizei mit einer Reihe von Technologien zu helfen, die Bösewichte festzunehmen. Berühmt wurde das Unternehmen Anfang des Jahres, als es fälschlicherweise als das Unternehmen bezeichnet wurde, das dabei half, das iPhone des Schützen von San Bernardino zu entsperren, das gleiche Telefon, das Apple in einen Rechtsstreit mit dem FBI verwickelte.

Das soll nicht heißen, dass Cellebrite nicht geholfen haben könnte.

Die Arbeit von Cellebrite ist weitgehend geheim, und das Unternehmen balanciert auf einem schmalen Grat zwischen der Offenlegung seiner Fähigkeiten, um die Werbetrommel zu rühren, und der Gewährleistung, dass nur die „Guten“ Zugang zu seiner Technologie haben.

Die US-Polizei soll Millionen für diese Art von Technologie zum Knacken von Telefonen ausgegeben haben. Und das ist nicht verwunderlich, denn Cellebrite liefert Ergebnisse.

Das Forensik-Unternehmen behauptet, dass es im Auftrag von Polizeidienststellen in über hundert Ländern fast alle Daten von fast jedem Gerät herunterladen kann. Dazu nimmt es ein von der Polizei beschlagnahmtes Telefon, schließt es an und extrahiert mit seiner eigenen Technologie Nachrichten, Anrufe, Sprachnachrichten, Bilder und mehr aus dem Gerät.

Anschließend erstellt es einen Extraktionsbericht, mit dem die Ermittler auf einen Blick sehen können, wo eine Person war, mit wem sie gesprochen hat und wann.

Wir haben eine Reihe dieser so genannten Extraktionsberichte erhalten.

Einer der bei weitem interessantesten Berichte stammt von einem iPhone 5 mit iOS 8. Der Besitzer des Telefons benutzte keinen Passcode, was bedeutet, dass das Telefon völlig unverschlüsselt war.

Hier ist alles, was auf diesem iPhone 5 gespeichert war, einschließlich einiger gelöschter Inhalte.

(Apples iOS 8 war die erste iPhone-Softwareversion, die mit passcodebasierter Verschlüsselung ausgestattet war. Das hätte ausgereicht, um den durchschnittlichen Telefondieb zu vereiteln, aber es hätte vielleicht einige Telefonknacker mit der richtigen Hardware nicht daran gehindert. Cellebrite sagt, dass es die Passcodes des iPhone 4s und später nicht knacken kann. iPhone 5s-Handys und später sind mit einem Secure Enclave Co-Prozessor auf dem Hauptprozessorchip des iPhone 5s ausgestattet, der das Knacken von Telefonen erheblich erschwert.)

Das Telefon wurde an ein Cellebrite UFED-Gerät angeschlossen, das in diesem Fall ein spezieller Computer in der Polizeiabteilung war. Der Polizeibeamte führte eine logische Extraktion durch, bei der heruntergeladen wird, was sich zu diesem Zeitpunkt im Telefonspeicher befindet. (Motherboard hat mehr darüber berichtet, wie der Extraktionsprozess von Cellebrite funktioniert.)

In einigen Fällen enthielt er auch Daten, die der Benutzer kürzlich gelöscht hatte.

Unseres Wissens gibt es ein paar Beispielberichte im Internet, aber es ist selten, dass man ein reales Beispiel dafür sieht, wie viele Daten aus einem relativ modernen Gerät abgeschöpft werden können.

Wir veröffentlichen einige Auszüge aus dem Bericht, wobei sensible oder identifizierbare Informationen unkenntlich gemacht wurden.

Vorderseite: Die erste Seite des Berichts enthält die Fallnummer der Strafverfolgungsbehörde, den Namen des Prüfers und die Abteilung. Sie enthält auch eindeutige Informationen zur Identifizierung des Geräts.

Geräteinformationen:

Geräteinformationen: Der Bericht enthält Einzelheiten darüber, wem das Telefon gehört, einschließlich der Telefonnummer, der registrierten Apple-ID und eindeutiger Kennungen wie der IMEI-Nummer des Geräts.

Extraktionssoftware-Plugins:

Plugins: In diesem Teil wird beschrieben, wie die Software funktioniert und was sie tut. Sie umfasst die Extraktion von Quicktime-Metadaten und die Erstellung von Analysen. Die Software kann auch Querverweise von Daten aus dem Gerät erstellen, um Profile über Kontakte, SMS und andere Kommunikation zu erstellen.

Orte:

Orte: Die Extraktionssoftware zeichnet den Geostandort jedes aufgenommenen Fotos auf und visualisiert ihn auf einer Karte, so dass der Ermittler sehen kann, wo der Besitzer des Telefons wann gewesen ist.

Nachrichten:

Nachrichten: In dieser „Gesprächs“-Ansicht kann ein Ermittler alle Textnachrichten in chronologischer Reihenfolge sehen, so dass er genau sehen kann, was in einem bestimmten Zeitraum gesagt wurde.

Benutzerkonten:

Benutzerkonten: Dieser Teil zeigt die Benutzerkonten des Telefonbesitzers auf dem Telefon, je nachdem, wie viele Apps installiert sind. In diesem Fall wurden nur ein Benutzername und ein Passwort für Instagram erfasst.

Drahtlose Netzwerke:

Drahtlose Netzwerke: Die Extraktionssoftware lädt eine Liste aller drahtlosen Netzwerke herunter, mit denen sich das Telefon verbunden hat, einschließlich ihres Verschlüsselungstyps und der MAC-Adresse des Routers des Netzwerks sowie des Zeitpunkts, zu dem sich das Telefon zuletzt mit dem Netzwerk verbunden hat.

Anrufprotokoll:

Anrufprotokoll: Der Bericht enthält eine vollständige Liste der Anrufaufzeichnungen, einschließlich der Art des Anrufs (eingehend oder ausgehend), der Uhrzeit, des Datums und der Telefonnummer des Anrufs sowie der Dauer des Anrufs. Diese Art von Informationen ist sehr nützlich, wenn sie von Geheimdiensten gesammelt werden.

Kontakte:

Kontakte: Kontakte im Telefon werden von der Extraktionssoftware aufgesaugt, einschließlich Namen, Telefonnummern und andere Kontaktinformationen, wie z. B. E-Mail-Adressen. Selbst gelöschte Inhalte können noch erfasst werden.

Installierte Apps:

Installierte Apps: Alle installierten Apps, ihre Version und Berechtigungseinstellungen werden von der Extraktionssoftware erfasst.

Notizen:

Notizen: Alle Daten, die in der Notes-App geschrieben wurden, werden ebenfalls heruntergeladen. Hier haben wir das, was Bankkontodaten zu sein scheinen, geschwärzt.

Sprachmitteilungen:

Sprachmitteilungen: Auf dem Telefon gespeicherte Sprachnachrichten werden gesammelt und als Audiodateien heruntergeladen. Dazu gehören auch die Telefonnummer der Person, die die Voicemail hinterlassen hat, und die Dauer.

Konfigurationen und Datenbanken

Konfigurationen und Datenbanken: Eigenschaftslisten („plist“) speichern App-Daten auf iPhones. Diese einzelnen Dateien enthalten eine Fülle von Informationen, z. B. Konfigurationen, Einstellungen, Optionen und andere Cache-Dateien.

Aktivitätsanalyse:

Aktivitätsanalyse: Für jede Telefonnummer ermittelt die Analyse-Engine, wie viele zugehörige Aktionen stattgefunden haben, z. B. Textnachrichten oder Anrufe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.