Forensik-Tool soll Schlüsselbunddaten aus gesperrten iPhones auslesen
Der Boot-ROM-Exploit macht ältere iPhones angreifbar, einzelne Datensätze lassen sich laut Sicherheitsforschern ohne Kenntnis des Gerätecodes einsehen.
(Bild: dpa, Stefan Jaitner)
- Leo Becker
Der Hersteller Elcomsoft hat ein iOS-Forensik-Tool zum Auslesen angepasst: Es soll nun bestimmte im Schlüsselbund des Systems hinterlegte Daten aus gesperrten und deaktivierten iPhones extrahieren. Möglich wird das durch einen öffentlichen Boot-ROM-Exploit, mit dem sich ein Jailbreak bis hin zur aktuellen iOS-Version 13.3 auf iPhones bis hin zum Modelljahr 2017 durchführen lässt. Das schließt iPhone X und iPhone 8 ein, letzteres wird von Apple weiterhin als Neugerät verkauft.
Einzelne Daten zugänglich
(Bild: dpa, Michael Kappeler)
Nahezu alle iPhone-Daten bleiben verschlüsselt, bis der Nutzer den Gerätecode eingibt. Doch bestimmte im Schlüsselbund gespeicherte Daten seien auch im gesperrten oder deaktivierten Zustand direkt nach einem Neustart des Gerätes ohne Kenntnis des Gerätecodes auslesbar, wie Elcomsoft mitteilte.
Dazu gehören verschiedene Tokens rund um Apples "iPhone finden" / "Wo ist?"-Dienst (Find my) sowie teils auch Benutzername für Accounts.
Bei Analyse eines eigenen iPhone X fanden die Sicherheitsforscher zudem komplette Zugangsdaten für E-Mail-Accounts zweier großer russischer Anbieter, diese waren möglicherweise von zugehörigen Apps nicht richtig gesichert im Schlüsselbund abgelegt worden und damit zugänglich. Generell seien in diesem Zustand nur Daten mit der niedrigsten Keychain-Datenschutzklasse kSecAttrAccessibleAlways extrahierbar, so der Forensik-Software-Hersteller.
Überwachungsfirmen nutzen Boot-ROM-Exploit
Überwachungs- und Forensikfirmen hatten vor kurzem angekündigt, den Boot-ROM-Exploit checkm8 und den dadurch möglichen Jailbreak in ihre Tools zu integrieren, um so bestimmte Daten aus iPhones und iPads auszulesen, zu denen zwar physischer Zugang besteht, der Gerätecode aber unbekannt ist. Elcomsoft betonte, man biete keine Dienstleistungen für das Entsperren der Geräte an, sondern nur Tools, um bestimmte Daten auf verschiedenen Wegen auszulesen. Nutzer haben derzeit keine Möglichkeit, sich gegen diesen begrenzten Datenzugriff zu wappnen – außer ein neueres iPhone (ab Modelljahr 2018 mit A12-Chip) zu kaufen.
Im Zustand vor dem ersten Entsperren (Before First Unlock - BFU) lassen sich der Analyse zufolge auch eine Liste der installierten Apps, "bestimmte Wallet-Daten", eine Liste mit WLAN-Verbindungen, Mediendateien, Benachrichtigungen und "Standortpunkte" auslesen, heißt es weiter. Man habe auf 45 GByte der insgesamt 150 GByte an Daten, die auf einem iPhone X gespeichert waren, zugreifen können.
(lbe)
