Losgelöst von der rechtlichen, politischen und ethischen Komponente rund um den mutmaßlichen Hack des Smartphones von Jeff Bezos wirft ein kritischer Blick auf den öffentlich gewordenen IT-forensischen Untersuchungsbericht weitere Fragen auf. Vice hat am 22. Januar 2020 einen 17-seitigen als vertraulich markierten Bericht mit dem Titel “Project Cato” des Unternehmens “FTI Consulting” online gestellt. Darin kommt FTI mit “mittlerer bis hoher Überzeugung” zu dem Schluss, Bezos iPhone X sei mittels Malware durch einen WhatsApp-Account kompromittiert worden, den der Saudische Kronprinz genutzt habe.

Sicher, mittels per WhatsApp versendeter Videos waren Mobilgeräte wohl tatsächlich angreifbar und der im forensischen Gutachten beschriebene technische Ablauf erscheint nicht unplausibel, aber sind auf Basis der IT-forensischen Untersuchung wirklich Opfer sowie Täter mit “mittlerer bis hoher Überzeugung” zu bestimmen? Oder wurden hier die Ergebnisse technischer Untersuchungen mit Informationen aus einer Hintergrundrecherche vermischt?

Vollständige Untersuchung steht wohl noch bevor

Die erste Schwierigkeit liegt darin, dass FTI laut Bericht nur eine logische Kopie von Anwendungsdaten über reguläre Backup-Techniken und eben nicht eine vollständige Kopie des gesamten Geräte-Speichers erzeugt hat. Das wäre jedoch notwendig, um das Gerät wirklich gründlich inklusive gelöschter und geschützter Datenbereiche zu untersuchen. So spricht das Dokument in der “Executive Summary” (Zusammenfassung) auf Seite 6 von einer “full forensic examination of the logical file system” (‚vollständigen forensischen Untersuchung des logischen Dateisystems‘).

Ganz am Ende findet sich dann der wichtige Hinweis, eine vollständige Untersuchung des gesamten Speichers mittels Jailbreak sei noch bevorstehend. Diese Einschränkung findet sich auch in Anhang 1 des Berichtes der beiden UN-Experten Callamard und Kaye: “Logical mobile acquisition” (‚logische Sicherung des Mobiltelefons‘). Zuvor schreiben auch sie jedoch umfassend: “An in-depth, forensic level examination of Mr. Bezos’ phone including full forensic imaging and analysis – was undertaken by a team of digital forensic experts.” (‚Eine gründliche Untersuchung von Mr. Bezos Telefon auf forensischer Ebene einschließlich vollständiger forensischer Sicherung und Analyse wurde von einem Expertenteam für digitale Forensik vorgenommen.‘)

Fragwürdig ist, warum der forensische Bericht ausführlich über technische Details der Analyseplattform berichtet (so sei unter anderem Ubuntu in Version 18.04 LTS in Oracle VirtualBox auf zwei Surface-Laptops mit Intel Core i7-Prozessor und 512 GB Festspeicher verwendet worden), für die Aufklärung wesentliche Angaben aber unerwähnt lässt: Welche Seriennummer hat das iPhone von Jeff Bezos, welche iOS-Version war installiert? Lief die Systemuhr des Mobiltelefons zum Zeitpunkt der Untersuchung korrekt und gibt es Anhaltspunkte, ob dies auch im mutmaßlichen Tatzeitraum so war? War das Gerät (zumindest zum Zeitpunkt der Untersuchung) z.B. mit einer PIN geschützt oder ungeschützt verwendbar? Wurde Herr Bezos befragt, ob er zum Tatzeitraum einen solchen Geräteschutz eingestellt hatte oder nicht? Welche Änderungen haben die IT-Forensiker an dem iPhone vorgenommen? Schließlich haben sie wohl live an dem System gearbeitet und damit potentiell Spuren verändert oder (ungewollt) gelöscht.

Wie viele Nutzdaten waren auf dem iPhone gespeichert? Laut FTI sollen 7,6 GB Daten abgeflossen sein. Waren so viele Fotos, Videos und sonstige Nutzdaten auf dem Gerät vorhanden, oder müsste der Traffic eher Folge einer abgeschnorchelten Kamera sein? Auch hierzu liefert der IT-forensische Bericht keine Aussage.

Geschwärzte Stellen im Bericht

Es ist zwar interessant zu erfahren, dass die FTI-Forensiker mittels Metalldetektoren an der Labortür überprüft wurden (Seite 8 des Berichts), aber offen bleibt nun die Frage, wie genau die ausführlichen forensischen Untersuchungen abliefen (“FTI conducted in-depth analysis of forensic artifacts from the redacted Cellebrite reports and captured network logs”, Seite 9 des Berichts – ‚FTI nahm eine gründliche Analyse der forensischen Beweismittel aus den redigierten Cellebrite-Berichten und den aufgezeichneten Netzwerkprotokollen vor‘).

An keiner Stelle nennt der Bericht die Mobilnummer, die für den WhatsApp-Namen “MBS” in dem iPhone gespeichert war. Das ist auffällig, weil mehrere Bereiche in dem Bericht mit der Zeichenfolge “REDACTED” (‚redigiert‘) geschwärzt sind. Die Mobilnummer hätte problemlos ebenfalls geschwärzt werden können. Damit stellt sich auch die Frage, warum der Bericht überhaupt geschwärzte Bereiche enthält. Wurde nachträglich geschwärzt oder direkt durch FTI? Auffällig ist auch die Ähnlichkeit oder sogar Gleichheit des Schwärzungstextes mit dem Originaltext. Die folgende Grafik zeigt einen 1:1 aus dem Fließtext kopierten Buchstaben ‚C‘, der zur Verdeutlichung neben das ‚C‘ aus ‚Redacted‘ gelegt ist: Font und Schriftgröße scheinen identisch.

Relevante Fragen bleiben offen

Dies führt zu der abschließenden Frage, für wen der forensische Bericht bestimmt war. Denn je nach Auftrag und insbesondere Auftraggeber können natürlich z.B. für den Auftraggeber irrelevante Punkte ausgelassen werden. Jeff Bezos wird wohl selbst wissen, ob und unter welcher Mobilnummer er MBS gespeichert hatte, und er wird sich wahrscheinlich sicher sein, dass exakt sein Mobiltelefon bei FTI gelandet ist und dass es dann auch untersucht wurde. Aber dann wäre es vielleicht auch nicht nötig gewesen, in der Executive Summary (Seite 5) zu erklären, mit wem Bezos wann eine persönliche Beziehung führte oder Scheidungspläne eruierte.

Für Außenstehende bleiben damit relevante Fragen offen, besonders wie die FTI-Forensiker zu dem Schluss kamen, dass es sich bei dem Absender tatsächlich um das Konto des Saudischen Prinzen handeln soll. Da dieser interessante Bericht aber die wesentliche Einschränkung bezüglich der noch nicht erfolgten vollständigen Sicherung benennt und es wohl unklar ist, ob es von FTI einen weiteren Bericht gibt oder nicht, sollte man vor einer abschließenden Kritik an diesem Bericht noch warten.