Fragen? Antworten! Siehe auch: Alternativlos
Cellebrite baut so Exploits für Smartphones und verkauft das an "Sicherheitsbehörden", die damit "den Terroristen" die Handys aufmachen.
Signal speichert eure Chatverläufe verschlüsselt auf dem lokalen Gerät. Der Schlüssel ist in Hardware abgelegt. Wenn das Gerät aufgeschlossen ist, kommt man da ohne weitere Nachfrage ran. Deshalb kann Signal euch eure Chatverläufe anzeigen, wenn ihr es startet.
Was Cellebrite jetzt gemacht hat: Sie haben das Android Keystore API gegoogelt, mit dem man den Key abfragt, und dann ein externes Tool namens SQLCipher installiert, und dann haben sie im offenen Quellcode von Signal geguckt, wie sie SQLCipher mit dem Key aufrufen müssen. Deren Leistung an der Stelle ist … sehr überschaubar.
Diese Meldung könnt ihr getrost ignorieren. Wenn Signal eure Chatverläufe ohne weiteres Passwort anzeigen kann, dann kann das auch Cellebrite. Das war ja wohl irgendwie offensichtlich oder nicht?
Leider hat sich Bruce Schneier an der Stelle geäußert und mit dem Blogeintrag voll ins Klo gegriffen. Es gibt da keine Vulnerability. Die rufen genau die dafür gedachten APIs genau so auf, wie sie gedacht waren. Das funktioniert nur, wenn das Telefon aufgeschlossen ist. Daher schließt sich euer Telefon bei Inaktivität von alleine ab.
Sorgen müsst ihr euch machen, wenn Cellebrite euer Telefon aufschließen kann. Nicht wenn sie danach Daten abgreifen können. Das ist gewollt, dass der angemeldete Benutzer aus einem aufgeschlossenen Gerät die Daten sehen kann.