Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Mittwoch, 23 Dezember 2020 | Blog: 6 | No: 46322
Im Moment geht eine Meldung herum, dass Cellebrite angeblich Signal knacken kann.
Cellebrite baut so Exploits für Smartphones und verkauft das an "Sicherheitsbehörden", die damit "den Terroristen" die Handys aufmachen.
Signal speichert eure Chatverläufe verschlüsselt auf dem lokalen Gerät. Der Schlüssel ist in Hardware abgelegt. Wenn das Gerät aufgeschlossen ist, kommt man da ohne weitere Nachfrage ran. Deshalb kann Signal euch eure Chatverläufe anzeigen, wenn ihr es startet.
Was Cellebrite jetzt gemacht hat: Sie haben das Android Keystore API gegoogelt, mit dem man den Key abfragt, und dann ein externes Tool namens SQLCipher installiert, und dann haben sie im offenen Quellcode von Signal geguckt, wie sie SQLCipher mit dem Key aufrufen müssen. Deren Leistung an der Stelle ist … sehr überschaubar.
Diese Meldung könnt ihr getrost ignorieren. Wenn Signal eure Chatverläufe ohne weiteres Passwort anzeigen kann, dann kann das auch Cellebrite. Das war ja wohl irgendwie offensichtlich oder nicht?
Leider hat sich Bruce Schneier an der Stelle geäußert und mit dem Blogeintrag voll ins Klo gegriffen. Es gibt da keine Vulnerability. Die rufen genau die dafür gedachten APIs genau so auf, wie sie gedacht waren. Das funktioniert nur, wenn das Telefon aufgeschlossen ist. Daher schließt sich euer Telefon bei Inaktivität von alleine ab.
Sorgen müsst ihr euch machen, wenn Cellebrite euer Telefon aufschließen kann. Nicht wenn sie danach Daten abgreifen können. Das ist gewollt, dass der angemeldete Benutzer aus einem aufgeschlossenen Gerät die Daten sehen kann.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Mittwoch, 23 Dezember 2020 | Blog: 6 | No: 46322
Das war ja wohl irgendwie offensichtlich oder nicht?
Bruce Schneier an der Stelle geäußert
Cellebrite baut so Exploits für Smartphones und verkauft das an "Sicherheitsbehörden", die damit "den Terroristen" die Handys aufmachen.
Signal speichert eure Chatverläufe verschlüsselt auf dem lokalen Gerät. Der Schlüssel ist in Hardware abgelegt. Wenn das Gerät aufgeschlossen ist, kommt man da ohne weitere Nachfrage ran. Deshalb kann Signal euch eure Chatverläufe anzeigen, wenn ihr es startet.
Was Cellebrite jetzt gemacht hat: Sie haben das Android Keystore API gegoogelt, mit dem man den Key abfragt, und dann ein externes Tool namens SQLCipher installiert, und dann haben sie im offenen Quellcode von Signal geguckt, wie sie SQLCipher mit dem Key aufrufen müssen. Deren Leistung an der Stelle ist … sehr überschaubar.
Diese Meldung könnt ihr getrost ignorieren. Wenn Signal eure Chatverläufe ohne weiteres Passwort anzeigen kann, dann kann das auch Cellebrite. Das war ja wohl irgendwie offensichtlich oder nicht?
Leider hat sich Bruce Schneier an der Stelle geäußert und mit dem Blogeintrag voll ins Klo gegriffen. Es gibt da keine Vulnerability. Die rufen genau die dafür gedachten APIs genau so auf, wie sie gedacht waren. Das funktioniert nur, wenn das Telefon aufgeschlossen ist. Daher schließt sich euer Telefon bei Inaktivität von alleine ab.
Sorgen müsst ihr euch machen, wenn Cellebrite euer Telefon aufschließen kann. Nicht wenn sie danach Daten abgreifen können. Das ist gewollt, dass der angemeldete Benutzer aus einem aufgeschlossenen Gerät die Daten sehen kann.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
