"Gangster mit iPhone sind leichter zu erwischen"
Apples Smartphone gehört zu den leistungsfähigsten mobilen Geräten auf dem Markt. Das interessiert auch Kriminelle - und diejenigen, die sie jagen. Der IT-Sicherheitsexperte Jonathan Zdziarski hat jetzt das erste Buch über iPhone-Forensik geschrieben.
Jonathan Zdziarski gehört zu den bekanntesten Mitgliedern der internationalen iPhone-Hacker-Gemeinschaft, die dem Gerät zahlreiche neue Funktionen verpasste, bevor Apple Drittherstellern erstmals offiziell Zugriff auf die Plattform gewährte. Der Amerikaner arbeitet als Sicherheitsforscher bei einem IT-Security-Konzern und ist Autor mehrerer Bücher zum Thema.
Technology Review: Herr Zdziarski, in Ihrem neuen Buch "iPhone Forensics" beschreiben Sie, wie Apples Smartphone forensisch ausgewertet werden kann. Welche Daten können Ermittlungsbehörden von dem Gerät ziehen?
Jonathan Zdziarski: Das iPhone enthält viele der üblichen Daten, wie man sie auf einem mobilen Gerät erwarten würde – SMS-Botschaften, Kontakte, E-Mails und so weiter. Hinzu kommt allerdings, dass das Handy auch ungewöhnlichere Informationen speichert. Dazu gehört ein Zwischenspeicher (Cache), der Sätze, Passwörter und Formulardaten enthält, die man in den Browser oder andere Anwendungen eingetippt hat, Bildschirmfotos der letzten paar Dutzend Zustände jeder Anwendung, wenn man den "Home"-Knopf drückt, GPS-Informationen, aufgerufene Google Maps-Karten, Suchanfragen und einiges mehr.
Hinzu kommt: Neben der Speicherung all dieser Daten verhält sich das iPhone in vielen Bereichen eher wie ein Computer als wie ein Handy – mit einem vollständigen Dateisystem nach dem von Apple-Rechnern bekannten Standard HFS. Das heißt, dass man im Gegensatz zu anderen mobilen Geräten auch viele Wochen oder sogar Monate lang gelöschte Fotos, alte Browser-Historys plus diverse andere eigentlich vom Nutzer verworfene Informationen zurückholen kann. Die meisten Nutzer denken, dass ihre Daten weg sind, wenn sie einmal gelöscht wurden. Das ist nicht der Fall, wie ich in meinem Buch zeige.
TR: Waren Sie bei der Analyse der Fähigkeiten des Gerätes überrascht, was beim iPhone alles gespeichert bleibt?
Zdziarski: Ich wusste, dass das Gerät viele persönliche Daten enthält, doch der Umfang, mit dem einige davon abgelegt werden, hat mich schon erstaunt. Beispielsweise hätten wir da das erwähnte Bildschirmschnappschuss-Feature, wenn man den Home-Knopf drückt. Das macht das Gerät nur deshalb, damit dieser hübsche Zoom-Effekt möglich wird, den die Leute so gerne beim Aufruf des Hauptmenüs sehen. Das Problem ist, dass diese Screenshots auf den Flashspeicher des iPhone geschrieben werden, anstatt nur im RAM zu landen. Man findet also Dutzende und manchmal sogar Hunderte dieser Bilder all der "letzten Dinge, die ich mir angeschaut habe". Man kann sich leicht vorstellen, dass das eine Menge an Informationen darüber liefert, wo hin man gerade gereist ist, was man sich im Web angesehen hat, was im E-Mail-Postfach lag und so weiter.
TR: Warum ist das so?
Zdziarski: Es gibt eigentlich keinen Grund dafür, dass Screenshots derart abgelegt werden. Es war für die Entwickler meiner Meinung nach nur einfacherer, sie waren faul. Im Endeffekt ist der Kunde derjenige, der so an der potenziellen Dezimierung seiner Privatsphäre leidet. Auf der anderen Seite liefert das aber auch eine lange und ständig fortlaufende Kette an Beweisen, die von Strafverfolgern verwendet werden können, die eine Anklage gegen einen iPhone-Benutzer vorbereiten wollen.
Einer der Bereiche, für den sich die Behörden oft interessieren, ist der Eingabezwischenspeicher. Das iPhone lernt, was man regelmäßig eintippt, um dann mit seiner Autokorrektur einspringen zu können, wenn man sich vertippt. Unglücklicherweise nahmen die iPhone-Entwickler auch hier wieder den einfachen Weg und entschieden sich, alles in der Reihenfolge zu speichern, in der es eingegeben wurde, statt beispielsweise nur einen Hash-Wert zu generieren und das Format zu ändern. Daraus ergibt sich dann eine vollständige Sammlung aller auf dem Gerät eingegebener Begriffe über alle Anwendungen hinweg. Die schwere Sicherheitslücke liegt darin, dass auch Passwörter mitgespeichert werden.
Noch überraschender ist allerdings, wie lange diese Daten vorgehalten werden. Das iPhone ist hier schlimmer als ein Desktop-Rechner, weil es so eingerichtet ist, dass es nur selten etwas an die gleiche Stelle mehrfach schreibt, um den verwendeten Flashspeicher zu schonen. Auf einem PC werden Daten öfter überschrieben, weil man auch einmal große Dateien kopiert wie Musik oder Bilder. Intensive Schreibaktivitäten erfolgen beim iPhone aber normalerweise nur dann, wenn der Nutzer sein Gerät gerade bekommen hat. Danach ist alles recht statisch. Das erlaubt viel Platz für kleinere Dateien, die in entlegenen Bereichen des Flashspeichers verbleiben und das so lange, bis sie endlich überschrieben werden.
Apple scheint sich nicht bewusst gewesen zu sein, wie viele gelöschte Daten dort verbleiben. Die Firma zog Anfang des Jahres zahlreiche überholte Gebrauchtgeräte vom Markt zurück, als bekannt wurde, dass ein Polizist, dem ich selbst schon bei der iPhone-Forensik geholfen hatte, auf einem Testgerät alle persönlichen Daten des Vorbesitzers fand. Dazu gehörten Bankinformationen, Internet-Einkäufe und Screenshots der Damen, mit denen er auf Facebook flirtete. Ich kontaktierte den Mann, der an der Boston University studierte. Er bestätigte mir, er habe das Gerät einige Monate vorher zwecks Garantietausch an Apple zurückgegeben. Die Firma hatte offenbar ungerechtfertigterweise angenommen, dass ein Zurücksetzen des Handys auch die Daten löscht. Dabei ist das nur eine Schnellformatierung. Es dauerte dann nicht lange, bis Apple endlich eine "Secure Wipe"-Funktion einführte. Die funktioniert zwar, lässt sich aber immerhin unterbrechen.
