Neue Erkenntnisse über den Hackerangriff auf Jeff Bezos Wenn der Kronprinz dir ein Video schickt

Per WhatsApp-Video soll der saudische Kronprinz bin Salman das Telefon von Amazon-Gründer Bezos gehackt haben. Nun ist der Bericht der IT-Forensiker geleakt, die das Gerät des US-Milliardärs untersucht haben.
Hat Mohammed bin Salman (r.) höchstpersönlich Jeff Bezos gehackt?

Hat Mohammed bin Salman (r.) höchstpersönlich Jeff Bezos gehackt?

Foto:

BANDAR AL-JALOUD/ AFP

Im November 2019 veröffentlichte Facebook Informationen über eine Sicherheitslücke in WhatsApp , die zu den übleren ihrer Art gehörte. Mit einer präparierten MP4-Datei, die das Opfer nur antippen musste, ließ sich demnach ein Überlaufen des Speichers provozieren. Dieser eine Klick erlaubt es einem Hacker, einen beliebigen Code auf dem Gerät seines Opfers auszuführen. Remote Code Execution (RCE) heißt so etwas in der Fachsprache, übersetzt bedeutet es: Ein kleines WhatsApp-Video konnte zum Heiligen Gral für einen Hacker werden.

Ob es genau diese Sicherheitslücke war, mit der das Smartphone von Amazon-Gründer Jeff Bezos gehackt wurde, ist nicht bekannt. Aber was die IT-forensische Untersuchung des Geräts ergeben hat, passt zumindest zu einem solchen Angriffsmuster. Mit anderen Worten: Dass der saudische Kronprinz den reichsten Mann der Welt mit einem WhatsApp-Video hackt, ist rein technisch betrachtet keine überdrehte Fantasie schlechter Thriller-Autoren, sondern liegt absolut im Bereich des Möglichen.

Die Analyse, am Mittwochabend von "Vice" veröffentlicht , steckt voller entsprechender Indizien. Harte Beweise - insbesondere für eine aktive Beteiligung von Kronprinz Mohammed bin Salman oder die verwendete Spionagesoftware - liefert sie allerdings nicht.

"Anomal" große Datenmengen flossen ab

Denn dem Bericht zufolge fanden die IT-Forensiker der Unternehmensberatung FTI Consulting "keine bekannte Malware" und "keinen Beweis für Jailbreaking-Werkzeuge oder bekannte iOS-Exploits" auf dem iPhone X von Bezos. Was sie aber feststellen konnten: Der Amazon-CEO hatte am 1. Mai 2018 von der Nummer des saudischen Kronprinzen Mohammed bin Salman ein Video zugeschickt bekommen, nachdem die beiden einen Monat zuvor ihre Mobilfunknummern ausgetauscht hatten. Das Video kam demnach ohne jede Ankündigung oder Erklärung, und irgendetwas anderes war in der Datei ebenfalls enthalten. Was, ließ sich nicht rekonstruieren. "Mit mittlerer bis hoher Sicherheit", heißt es deshalb im Bericht, sei das Video der Auslöser für den Hack gewesen.

Einige Stunden nach dem Empfang des Videos jedenfalls seien plötzlich "anomal" große Mengen an Daten aus dem iPhone abgeflossen, über einige Monate hinweg seien es insgesamt mehrere Gigabyte gewesen. Die "sehr wahrscheinliche Erklärung" dafür ist laut dem Bericht der Gebrauch einer Spionagesoftware "wie Pegasus von der NSO Group oder Galileo von Hacking Team", die sich in legitime Anwendungen einklinken kann - und so ihre Entdeckung verhindert sowie ihre Aktivität verschleiert.

Sollte es Pegasus gewesen sein, hat sich Bezos eine seit Jahren weiterentwickelte Malware eingefangen. Pegasus kann Anrufe mitschneiden, SMS mitlesen, auf die Kamera des befallenen Geräts zugreifen, Aufenthaltsorte verfolgen, Kontaktlisten einsehen, E-Mails lesen, Passwörter sowie Daten von Facebook und Kommunikationsdiensten wie WhatsApp, Skype, Telegram, Viber oder WeChat abgreifen. Kurz: Die Software, die die israelische Firma NSO Group nach eigenen Angaben nur an Regierungen verkauft, damit diese sie zur Terror- und Kriminalitätsbekämpfung einsetzen können, ist ein mächtiges Spionagewerkzeug.

Unklar ist, ob es der Kronprinz selbst war

WhatsApp-Videos, die das Opfer auch noch anklicken müsste, wären nicht einmal der raffinierteste Infektionsweg. Im Frühjahr 2019 wurde bekannt, dass Pegasus auch über einen WhatsApp-Anruf auf einem Smartphone landen kann, ohne dass dieser entgegengenommen werden müsste. Ältere Versionen der Spionagesoftware wurden den Untersuchungen des kanadischen CitizenLab  zufolge auch über SMS verbreitet. Unter anderem sollte so der saudische Menschenrechtsaktivist Ahmed Mansoor überlistet und überwacht werden.

Dass die IT-Forensiker aber keine Spur von Pegasus oder einer anderen Spionagesoftware fanden, sei nicht verwunderlich - derartige Produkte enthielten oftmals einen Selbstzerstörungsmechanismus, um ihre Enttarnung zu verhindern, heißt es in der Analyse.

Unklar ist im Übrigen auch, ob es wirklich der Kronprinz selbst war, der das präparierte WhatsApp-Video an Bezos geschickt hat.

Bemerkenswert ist zudem, dass der Kronprinz im November 2018 und Februar 2019 zwei WhatsApp-Nachrichten an Bezos schickte, die nahelegten, dass er von Bezos damals noch geheimer Affäre mit der Nachrichtenmoderatorin Lauren Sanchez wusste. Und diese Informationen waren FTI zufolge für jemanden zugänglich, der das iPhone überwachen konnte. Was bedeutet, dass Bezos offenbar höchst sensible private Daten auf jenem Gerät gespeichert hatte, mit dem er auch mit politischen Führungsfiguren kommunizierte.

Die saudische Botschaft in den USA hat die Vorwürfe als "absurd" zurückgewiesen  und eine Untersuchung gefordert, "um die Fakten auf dem Tisch zu haben". Eine solche Untersuchung "durch die USA und andere relevante Stellen" fordern aber auch die Uno-Sonderberichterstatter Callamard und Kaye - und zwar sofort. Und FTI kündigte an, im Dateisystem des iPhone X von Bezos noch weiter nach Spuren zu suchen.