Smartphone-Hacking-Tool Cellebrite kann Daten von den meisten Pixel-Geräten extrahieren … GrapheneOS ist die einzige Ausnahme

 (arstechnica.com)
3 Punkte von GN⁺ 2025-11-01 | 1 Kommentare | Auf WhatsApp teilen
  • Ein internes Briefing von Cellebrite ist durchgesickert und zeigt, dass die Pixel-6- bis Pixel-9-Serie zu den Zielen gehört, von denen mit dem Hacking-Tool Daten extrahiert werden können
  • Cellebrite ist ein in Israel ansässiges Digital-Forensik-Unternehmen, das weltweit Ermittlungs- und Nachrichtendiensten Werkzeuge zum Extrahieren, Wiederherstellen und Analysieren von Daten aus digitalen Geräten wie Smartphones und Tablets verkauft
  • Das Kernprodukt ist ein Gerät namens UFED (Universal Forensic Extraction Device), ein „Tool zum Hacken gesperrter Smartphones, um sämtliche Daten wie SMS, E-Mails, Anruflisten, Fotos und GPS auszulesen“
  • Ein anonymer Nutzer verschaffte sich unbefugt Zugang zu einer Videokonferenz von Cellebrite, fotografierte bzw. erfasste die Support-Status-Tabelle für einzelne Pixel-Geräte und veröffentlichte sie im GrapheneOS-Forum
  • Laut der Tabelle sind Pixel-Geräte mit installiertem GrapheneOS ab Versionen seit 2022 in den Zuständen BFU/AFU/Unlocked allesamt geschützt; in den neuesten Builds ist eine Datenextraktion vollständig unmöglich
  • Beim originalen Pixel OS hingegen ist Datenzugriff im Zustand vor dem Entsperren (BFU), nach dem Entsperren (AFU) und im vollständig entsperrten Zustand (Unlocked) möglich

Durchgesickerte interne Informationen von Cellebrite

  • Der anonyme Hacker rogueFed verschaffte sich Zugang zu einem Teams-Briefing von Cellebrite, erfasste die Liste der unterstützten Pixel-Smartphones und veröffentlichte sie im GrapheneOS-Forum
    • Das Meeting war ein nicht öffentliches Briefing für Strafverfolgungsbehörden, und 404 Media berichtete ergänzend über den Beitrag
    • Auf dem unscharfen Screenshot ist zu sehen, dass die Liste der von Cellebrite-Geräten hackbaren Modelle die Serien Pixel 6, 7, 8 und 9 umfasst; Pixel 10 steht nicht auf der Liste
  • Datenextraktion ist in allen Zuständen BFU, AFU und Unlocked möglich
    • BFU (Before First Unlock): Zustand nach einem Neustart, bevor das Gerät erstmals entsperrt wurde; hier gilt die stärkste Verschlüsselung
    • AFU (After First Unlock): Zustand nach einer einmaligen Entsperrung; auf einige Daten kann dann zugegriffen werden
    • Unlocked: vollständig entsperrter Zustand, in dem der Datenzugriff am einfachsten ist
  • Cellebrite gibt an, dass beim originalen Pixel OS in allen Zuständen eine Datenextraktion möglich sei, allerdings ohne Funktion zum Brute-Forcing des Passcodes

Sicherheitsvorteil von GrapheneOS

  • Geräte mit installiertem GrapheneOS erlauben ab Builds seit 2022 selbst im BFU- und AFU-Zustand keine Datenextraktion
    • Die Pixel-8- und Pixel-9-Serie blockieren nach GrapheneOS-Maßstab den Zugriff von Cellebrite vollständig
    • In Builds seit 2024 ist ein Klonen selbst im Unlocked-Zustand unmöglich
  • GrapheneOS erhöht die Sicherheit durch das Fehlen von Google-Diensten und verschärfte Verschlüsselungsrichtlinien
  • Auch in internen Cellebrite-Dokumenten heißt es, dass „GrapheneOS sicherer ist als das standardmäßige Google-OS

Weitere Informationen

  • Cellebrite erwähnte auch das Problem, dass eSIMs nicht geklont werden können; bei der Pixel-10-Serie wird diese Einschränkung durch den Wegfall der physischen SIM noch verstärkt
  • Der Leaker behauptet, zweimal an Teams-Meetings teilgenommen zu haben, ohne entdeckt zu werden; da jedoch der Name des Organisators offengelegt wurde, ist künftig mit strengeren Zugangsbeschränkungen zu rechnen
  • Ars Technica bat Google um eine offizielle Stellungnahme dazu, warum ein von einer kleinen Non-Profit-Organisation entwickeltes Custom-ROM gegen industrielles Smartphone-Hacking robuster ist als das offizielle Pixel OS; eine Antwort von Google liegt bisher nicht vor

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-01
Hacker-News-Kommentare

  • Was mich am meisten interessiert hat, war: „Warum ist ein Custom-ROM, das von Freiwilligen entwickelt wurde, gegen industrietaugliches Hacking widerstandsfähiger als das offizielle Pixel-OS?“ Der Journalist hat Google dazu befragt, aber bislang offenbar keine Antwort erhalten.

    • GrapheneOS ist tatsächlich kein Freiwilligenprojekt. Es gibt etwa 10 bezahlte Entwickler, und die Entwicklung wird über Spenden an eine gemeinnützige Stiftung finanziert, die Entwicklergehälter und Infrastrukturkosten deckt. Ars Technica hat das inzwischen ebenfalls korrigiert und bezeichnet es nicht mehr als „von Freiwilligen gemacht“.
    • Ich frage mich, ob GrapheneOS wirklich so schwer zu hacken ist oder ob Cellebrite es einfach nicht unterstützt, weil es ein OS mit geringem Marktanteil ist.
    • GrapheneOS setzt auf ein sicherheitszentriertes Design, das Benutzerkomfort opfert. Für normale Nutzer ist das möglicherweise unpraktisch, dafür ist die Sicherheit entsprechend stärker. Wenn Google diesen Ansatz übernehmen würde, könnte das einen Teil der Nutzer kosten. So fehlt etwa, wie auch in diesem Reddit-Thread erwähnt, Google Pay komplett.
    • Google ist ein Unternehmen, das auf staatliche Anforderungen reagieren muss, und daher stärker eingeschränkt als eine gemeinnützige Organisation. Wie Ron Wyden 2023 anmerkte, gibt es strukturelle Schwächen, etwa den Fall, in dem Apple Regierungen Push-Benachrichtigungsdaten bereitgestellt hat.

  • Im Signal-Blogpost zu Cellebrite-Schwachstellen sieht man, dass Cellebrite eine Lösung baut, die Zieltelefone automatisch hackt, dabei aber auch das Risiko eingeht, dass die eigene Ausrüstung umgekehrt kompromittiert wird.

  • Hier ist das vollständige, nicht verschwommene Dokument: Cellebrite Android Document (2024). Es ließ sich über die Suche nach „android os access support matrix“ finden.

    • Das Dokument ist allerdings anderthalb Jahre alt und damit nicht aktuell. Sicherheit ist ein fortlaufender Wettlauf zwischen Angreifern und Verteidigern, daher sind solche Updates immer willkommen.
    • Im neuen Dokument fehlt das Pixel 9, daher sieht es so aus, als sei das Bild im Artikel aktualisiert worden.

  • Allein die Tatsache, dass Cellebrite GrapheneOS im Dokument direkt erwähnt hat, belegt meiner Meinung nach die Professionalität und Zielstrebigkeit dieses Projekts.

  • Die Quelle ist dieser frühere HN-Thread.

  • Ich fand es überraschend, dass die Pixel-10-Serie den physischen SIM-Slot streichen und nur noch eSIM unterstützen soll. Auf einer Reise nach Mexiko konnte ich direkt am Flughafen in einem 7-Eleven eine SIM kaufen und nutzen; mit eSIM dürfte diese Einfachheit verloren gehen.

    • eSIM wirkt wie eine Lösung für ein Problem, das es gar nicht gibt. Verbraucher sind mit physischen SIMs völlig zufrieden. Es wirkt eher so, als wollten Hersteller die Kontrolle über die Nutzer ausweiten.
    • Man kann vor einer Reise auch eine Prepaid-eSIM im Voraus kaufen.
    • Andererseits ist eSIM in Regionen, in denen SIM-Karten schwer zu bekommen sind, etwa in Montenegro oder Serbien, deutlich praktischer. Man kann sie sofort online kaufen, und es gibt auch „eSIMs für alle Länder“. Durch die stärkere Verbreitung von eSIM scheinen zudem die Roaming-Gebühren gesunken zu sein.
    • Der Wechselprozess bei eSIM ist aber weiterhin umständlich. Man muss den Kundendienst mehrfach kontaktieren, und es dauert mehr als einen Tag. Das Austauschen einer physischen SIM dauert 10 Sekunden. Technisch wäre es wohl lösbar, aber es wirkt wie ein weiteres Beispiel für Qualitätsverschlechterung von Diensten (enshittification).
    • Diese Änderung gilt nur für die USA.

  • Im GrapheneOS-Forum waren dieselben Folien schon vor langer Zeit veröffentlicht worden.

  • Bei dem Satz „rogueFed nannte den Veranstalter der Konferenz beim Namen“ habe ich mich gefragt, ob damit das FBI gemeint war.

    • Tatsächlich war es nicht das FBI, sondern der Cellebrite-Mitarbeiter Alex Rankmore. Der Screenshot befindet sich weiter unten im Thread.

  • Ich habe mich gefragt, warum es bisher keinen Fall gab, in dem Cellebrite-Geräte geleakt und analysiert wurden. Es gibt doch viele Polizeibehörden, die Ausrüstung eher nachlässig verwalten.

  • Die Formulierung „leicht zu hacken“ scheint übertrieben. Diese Unterlagen sind nur alte Diagramme; tatsächlich entspricht das Sicherheitsniveau eher dem eines mit LUKS verschlüsselten Desktops.
    Um ein Pixel-Gerät im BFU-Zustand (ausgeschaltet) zu hacken, muss man letztlich das Passwort per brute force angreifen.
    Abgesehen von millionenschweren Zero-Day-Angriffen gibt es keinen Exploit, der die Verschlüsselung des Pixel selbst umgeht.