Es war nur ein Video, verschickt über WhatsApp. Und doch soll es gereicht haben, um das iPhone eines der mächtigsten Tech-Unternehmer der Welt zu infiltrieren – das des Amazon-Gründers Jeff Bezos. Das berichtete zuerst der britische Guardian. Der Absender des Videos und damit der potenzielle Angreifer soll niemand Geringeres gewesen sein als der saudi-arabische Kronprinz Mohammed bin Salman. 

Das klingt besorgniserregend einfach. Das US-Magazin Vice hat nun die Analyse jenes Spezialisten für IT-Forensik veröffentlicht, der das Smartphone von Bezos untersucht hatte, es handelt sich dabei um die Firma FTI Consulting. Der Bericht von FTI Consulting stammt aus dem November 2019. Darin heißt es, dass Bezos' Smartphone mit "mittlerer bis hoher Sicherheit" über eine Malware kompromittiert worden sei, die von dem WhatsApp-Account gesendet worden sei, welchen der saudi-arabische Kronprinz nutze. Man muss das so vorsichtig formulieren. Denn ganz genau weiß man es bisher nicht. Und: Viele Experten sind nicht zufrieden mit der Tiefe und Qualität der vorgelegten Analyse – das zeigen die Reaktionen internationaler Fachleute und die Einschätzung eines deutschen Sicherheitsforschers.

Plötzlich flossen mehr Daten ab

Die Analyse beschreibt zunächst einmal den folgenden Ablauf der Ereignisse: Am 1. Mai 2018 erhielt Amazon-Chef Bezos eine WhatsApp-Nachricht von Mohammed bin Salmans Account auf sein iPhone X. Sie enthielt kommentarlos ein Video, dessen Screenshot eine saudi-arabische und eine schwedische Flagge zeigt. Inhalt soll, so legt eine andere Recherche nahe, ein Vergleich in Datennutzung und damit verbundenen Kosten gewesen sein. Wie bei WhatsApp üblich wurde das Video gemeinsam mit einem Downloader verschickt, der – wie ebenfalls üblich – verschlüsselt war. 

Die Forensiker konnten weder in der Video-Datei Malware finden noch sahen sie sich in der Lage, den Downloader näher zu analysieren beziehungsweise zu prüfen, ob er "zusätzlich zum übertragenen Video Schad-Code enthielt". Sehr wohl fiel den Spezialisten von FTI Consulting aber auf, dass kurz nach dem Erhalt des Videos die Menge an Daten, die von Bezos' iPhone abflossen, "unmittelbar sprunghaft" angestiegen und seitdem nicht mehr auf das vorherige Niveau zurückgegangen sei.

Was das bedeuten könnte? Als "sehr wahrscheinliche Erklärung" nennt der Bericht Techniken wie die, derer sich "fortgeschrittenere mobile Spionagesoftware wie Pegasus von der NSO Group oder Galileo von HackingTeam" bedienten: Diese klinkten sich nämlich in legitime Anwendungen und Prozesse auf dem Smartphone ein, um ihre Aktivitäten zu verschleiern. Große Datenabflüsse etwa des Safari-Browsers und des Mailclients auf Bezos’ Smartphone kurz nach der mutmaßlichen Infektion des Geräts könnten dazu passen.

All das soll sich über einen erstaunlich langen Zeitraum abgespielt haben: Erst im Februar 2019 – also mehr als acht Monate nach der mutmaßlichen Infektion – wurde die Cybersecurity-Firma hinzugezogen. Und zwar, so der Bericht, nachdem Sicherheitskreise gewarnt haben sollen, dass das Smartphone von Jeff Bezos Opfer eines sogenannten Advanced Persistant Threats (APT) geworden sei, also eines ziemlich elaborierten Angriffs, hinter dem staatliche Akteure stehen könnten.

Bekannte Malware will FTI Consulting auf Bezos’ Gerät nicht gefunden haben, auch keine Hinweise auf Werkzeuge, die Nutzungsbeschränkungen auf Geräten umgehen ("Jailbreaking") oder die sich bekannter Sicherheitslücken im Apple-Betriebssystem iOS bedienten. Dass man keine Beweise für bekannte Schadsoftware auf Bezos’ Telefon gefunden habe, widerlege aber nicht, dass sie nie darauf existiert habe, heißt es in dem FTI-Bericht sinngemäß: "Malware beinhaltet häufig Selbstzerstörungsfähigkeiten, die aktiviert werden können, wenn bestimmte Bedingungen oder Ziele erreicht werden."

Allerdings scheint die Firma bei ihrer Analyse auch auf einige Probleme gestoßen zu sein. Laut dem Bericht habe das Gerät für iTunes-Backups Verschlüsselung aktiviert, sodass ein Passwort nötig gewesen wäre für eine "vollständige Analyse der Inhalte des forensischen Images". Genau dieses Passwort scheint jedoch Jeff Bezos nicht mehr eingefallen zu sein – darauf zumindest deutet hin, dass die IT-Forensiker nach Wegen suchten, ebenjenes Passwort zu umgehen. Schlussendlich setzten sie Bezos' Telefon auf die Werkseinstellungen zurück, während sie gleichzeitig nach eigenen Angaben "das Dateisystem und alle anderen relevanten Daten und Artefakte" erhielten.

Das alles bedeutet im Endeffekt: Der FTI-Bericht legt Hinweise und Indizien für einen Zusammenhang zwischen dem Angriff auf Bezos' Smartphone und einer Verwicklung des Golfstaats vor, allerdings keine harten Belege. Entsprechend dementiert die saudi-arabische Botschaft in den USA jede Beteiligung an den Vorfällen.