37C3: Beliebige SMS über die iPhone-Satelliten schicken​

Mit einem iPhone der Baureihen 14 und 15 können Nutzer die Funktion Notruf-SOS via Satellit in derzeit 16 Staaten inklusive Deutschland, Österreich und der Schweiz verwenden, um auch außerhalb einer Mobilfunk- oder WLAN-Abdeckung eine SMS mit dem Standort über das Globalstar-Netzwerk an Rettungsdienste zu schicken. Das Kommunikationssystem hat Apple unter anderem mit einer Ende-zu-Ende-Verschlüsselung der Geodaten gut abgesichert, sodass nicht einmal der iPhone-Bauer selbst die Ortsangaben mitlesen kann. Sogar rein textbasierte Satellitenkommunikation ist aber nach wie vor vergleichsweise teuer. Hacker wollten daher einen Weg finden, um den Notrufdienst zum Versenden beliebiger SMS über die Erdtrabanten zu nutzen.

Eine trickreiche Kommunikationsform haben sie dafür bereits gefunden. Es sei möglich, das Alphabet mit GPS-Koordinaten abzubilden und so eine variable Textnachricht als Ortsangabe zu tarnen, erklärte der Darmstädter IT-Sicherheitsforscher Alexander Heinrich am Mittwoch auf dem 37. Chaos Communication Congress (37C3) in Hamburg. 62 Zeichen, ein Raum von 10 Ziffern und 5 Zeichen pro Koordinate reichten aus, um etwa den Hackergruß "Hallo Welt" zu schreiben. Noch hat die Sache aber einen Haken: auf dem iPhone lässt sich zwar der Standort faken, was die Voraussetzung für den Hack ist. Das Apple-Mobiltelefon registriert das aber und der Hersteller bestraft den übereifrigen Nutzer Heinrich zufolge mit einer wochenlangen Sperre für die gesamte Satellitenkommunikation.

Apples Notruf: 9 Byte

Der auf mobile Sicherheit spezialisierte Wissenschaftler erwartet eine baldige Lösung für dieses Problem mit einem per Jailbreak für iOS 16 modifizierten iPhone, um Nutzungsbeschränkungen zu entfernen und erweiterte Zugriffsrechte auf interne Funktionen sowie das Dateisystem zu bekommen. Auch dazu tauschten sich die Hacker auf dem Kongress bereits aus. Die Kommunikationsmöglichkeiten über den Orbit blieben aber vergleichsweise beschränkt, ließ Heinrich durchblicken. Apple habe die erste Notruf-Info zum Standort so komprimiert, dass sie nur 9 Bytes betrage. Insgesamt kämen mit dem Nachsenden von Höhenangaben und eines eventuell eingerichteten Notfallpasses sowie dem Schlüsselaustausch 83 Bytes zusammen.

Der Apple-Code-Name für den Satelliten-Notruf ist Bifröst – benannt nach der Regenbogenbrücke zum Himmel in der nordischen Mythologie. Das Übertragungsterminal – also hier das iPhone – hört auf den Namen Stewie. Das Verfahren kann auch dazu dienen, um Freunde, Bekannte oder Familie über den aktuellen Standort zu informieren. Es baut auf dem Apple-Ortungsdienst "Wo ist?" auf. Der US-Konzern trackt Anwender dabei nicht ständig, sondern sendet eine Push-Nachricht zum Auslösen des Services, wenn etwa Freunde einen Standort anfordern.

Wie Bifröst funktioniert

Zusammen mit ihrem Kollegen Heinrich hat sich die Potsdamer Sicherheitsforscherin Jiska Classen daran gemacht, Bifröst unter die Lupe zu nehmen und Nachbau-Optionen per Reverse Engineering auszuloten. Alle Befehle bekomme man über den Fehlerbericht "Profile und Logs", berichtete die Expertin auf der Konferenz. Ein Student habe dankenswerterweise ein Analysewerkzeug auf Basis des Sniffers Wireshark gebaut, um mehr Struktur und Transparenz in den Befehlssalat zu bekommen. Dank eines bereits vorhandenen Jailbreaks für ein privat genutztes iPhone 14 und ein für Forschungszwecke zur Verfügung gestelltes iPhone 13 mini habe sich das Kommunikationsschema mithilfe einer Art URL-Verlinkung über die Demo-Funktion des Satelliten-SOS gut nachzeichnen lassen.

Als tragende Komponenten machte Classen unter anderem die Kommunikationszentrale (CommCenter) und einen SOSBuddy aus, über die sich letztlich Internetadressen öffnen ließen. Dieses Schema lasse sich in einer eigenen App nachbilden. Jedes iPhone habe zudem eine eigene "Funkpersönlichkeit". Diese besage, ob etwa 5G oder eine Satellitenverbindung an Bord seien. Werde diese angelegt, sei ein Blick in den Code mit wichtigen Bibliotheken wie libMobileGestalt.dylib oder libsystem_featureflags.dylib möglich. Classen fand so auch heraus, dass die Bifröst-Funktion auf dem iPhone 13 mini schon angelegt war. Durch den Austausch einer Bibliothek und das Einspeisen neuer Datenpakete bei Bedarf sei es gelungen, die Satellitenverbindung so grundsätzlich quasi scharfzustellen – auch wenn das zusätzlich erforderliche Modem in dem Modell fehle. Dies habe etwa den Vorteil, mit der Funktion experimentieren zu können, ohne einen Notfall zu simulieren.

So stellte sich laut Classen unter anderem heraus, dass das CommCenter die Berechtigung habe, weitere Funktionen und Konfigurationen aus dem Internet nachzuladen. Über eine entsprechende Liste etwa von Zieleigenschaften sei es möglich gewesen, eine Übersicht über die rund 70 aktiven Globalstar-Satelliten und die gut 20 Bodenstationen zu erhalten. Classens Tipp für potenzielle SOS-Nutzer lautet, alle paar Wochen online zu gehen und diese Konfigurationen gezielt zu erneuern. Sonst könnte es im Notfall länger dauern, eine Verbindung herzustellen. Wer es einfacher – aber nicht gratis – haben will: Motorolas Dienst "Defy Satellite Link" unterstützt von Haus aus neben Notsignalen und der Standortübermittlung auch Textnachrichten per Satellit.

(mki)