Reboot nach Inaktivität: So funktioniert Apples neues iOS-Sicherheitsfeature
Undokumentiert und wirksam: Apple schickt iPhones nach einer gewissen Inaktivität künftig in den Neustart. Diese Gründe hat das genau.
Apple-Logo auf einem iPhone.
(Bild: Sebastian Trepesch)
Apples bislang nicht offiziell bestätigte iOS-18.1-Funktion, mit der sich Geräte nach 72 Stunden ohne Entsperrung automatisch neu starten, um diese besser gegen Entsperrung abzusichern, wurde einer weiteren Analyse unterzogen. Die Sicherheitsexpertin Jiska Classen vom Secure Mobile Networking Lab der TU Darmstadt berichtet in ihrem Blog, dass Apple spezielle Methoden nutzt, damit der Vorgang sich nicht durch Angreifer abbrechen lässt.
Der wichtige Modus vor der ersten PIN-Code-Eingabe
"Der Zustand vor der ersten Eingabe des Passcodes wird auch als "Before First Unlock" (BFU) bezeichnet. Aufgrund der verschlüsselten Benutzerdaten verhält sich Ihr iPhone etwas anders als bei späteren Entsperrungen", schreibt Classen. Dann sind beispielsweise die Kontakte noch nicht entschlüsselt und auch Benachrichtigungen tauchen ohne Inhalt auf, selbst wenn dies auf dem Lockscreen freigegeben ist. "Im Zustand "After First Unlock “ (AFU) werden die Benutzerdaten entschlüsselt. Sie können sich das wie einen Schlüsseltresor vorstellen, der offen gehalten wird, während iOS läuft."
Classen konnte mit einer Codeanalyse zeigen, dass die neue Reboot-Funktion in iOS 18.1 implementiert wurde – in 18.2 wird sie offenbar nochmals verbessert. Versucht ein Prozess, den Reboot abzubrechen, hat Apple aber einen Trick parat: Wird der Kernel daran gehindert, wird automatisch eine Kernel-Panic ausgelöst, die ebenfalls einen Neustart einleitet. Apple sammelt hierbei Analysedaten, die später an das Unternehmen zu gehen scheinen. Der gesamte Reboot-Prozess wird über die Secure Enclave (SEP) überwacht: Hier wird gezählt, ob die 72 Stunden ohne Unlock erreicht sind. Die Nutzung des SEP hilft dabei, den Prozess weiter weniger angreifbar zu machen.
Graykey soll iOS 18 und 18.0.1 teilweise entsperren können
Magnet Forensics soll unterdessen mittlerweile in der Lage sein, iOS 18 und 18.0.1 "teilweise" zu entsperren. Das berichtet 404 Media unter Berufung auf geleakte interne Dokumente mit Angaben zu dessen Werkzeug Graykey, das an Behörden verkauft wird. Was das konkret bedeutet, blieb zunächst unklar. iOS 18.1 soll – so zumindest Angaben zu den damals aktuellen Betaversionen – nicht zugänglich sein. iPhone-11-Modelle (erschienen 2019) könnten hingegen "vollständig" aufgeschlossen werden.
Ein "teilweiser" Zugriff könnte unter anderem bedeuten, dass Strafverfolger auf Metadaten wie Dateistruktur oder Dateigrößen zugreifen sowie womöglich auch unverschlüsselte Daten einsehen könnten. Dies ist jedoch wie erwähnt erst im Status "After First Unlock" möglich, sodass Apples neuer Zwangs-Reboot umso wichtiger wäre, um die Inhalte zu schützen. "Before First Unlock" ist das System in einem stark abgesicherten Modus.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
