Apples USB-C-Controller aus dem iPhone entschlüsselt

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Einem Sicherheitsforscher ist es gelungen, Apples neuen USB-C-Controller zu entschlüsseln, der seit dem iPhone 15 in den Smartphones des Konzerns steckt. Einen entsprechenden Talk gab es bereits auf dem letzten Chaos Communication Congress (38C3) Ende Dezember in Hamburg, das Video dazu ist nun publiziert worden. Thomas Roth alias stacksmashing, Gründer des Security-Education-Unternehmens hextree.io, der sich unter anderem auf iOS-Reverse-Engineering spezialisiert hat, zeigt darin, was der sogenannte ACE3 alles kann – und wie er potenziell angreifbar ist.

TI-Chip für Apple optimiert

Der Mikrocontroller stammt eigentlich von Texas Instruments (TI), wurde aber speziell für Apple angepasst. Neben dem iPhone 15 in allen vier Varianten soll er auch in allen iPhone-16-Modellen sowie demnächst im kommenden iPhone SE 4 stecken. Apple hatte aufgrund der USB-C-Pflicht der Europäischen Union zuvor alle iPhones mit proprietärem Lightning-Anschluss vom Markt genommen. Der ACE3 gilt als grundsätzlich bekannt, da er auf dem ACE2 im MacBook Pro basiert. Hier gelang es Roth bereits, mit einem eigenen macOS-Kernelmodul (das sich allerdings nur von Admins installieren lässt) eine persistente Backdoor einzubauen, die auch vollständige System-Restore-Prozesse überlebt.

Beim ACE3 ist das aber nicht mehr so "leicht" möglich. Laut dem Sicherheitsexperten hat Apple angepasste Firmware-Updates pro Gerät implementiert, das Debug-Interface abgeschnitten und eine Flash-Validierung eingebaut. Zudem fehlen Teile der Firmware. Roth musste zum Reverse Engineering mit verschiedenen komplexen Methoden arbeiten, darunter RF-Sidechannel-Analysen und Faultinjection auf elektromagnetische Art. So sei es ihm gelungen, eine Code-Ausführung auf dem ACE3 zu ermöglichen, inklusive ROM-Dump.

Komplexes Reverse Engineering

Das komplexe Reverse Engineering offenbart einige potenzielle Zugangswege. Der ACE3 soll einen vollwertigen USB-Stack enthalten und verbindet sich mit internen Komponenten wie dem SPMI-Bus und dem JTAG-Application-Prozessor. Dennoch dürfte es schwierig sein, die von Roth vorgeführten Angriffe breit anzuwenden. Er selbst arbeitet aber daran, die notwendigen Hardwarekosten auf unter 100 US-Dollar zu senken.

In seinem Talk geht er auch darauf ein, wie Apple solche Angriffe künftig verhindern könnte und welche Möglichkeiten er künftig für neuartige Exploits sieht. Diese dürften alle aber nur dann funktionieren, wenn ein Angreifer im Besitz des Gerätes ist. Remote Exploits sind – zumindest aktuell – nicht denkbar.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden Preisvergleich jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)