US-Ermittler ärgern sich über iPhone-Neustarts

Ein mit iOS 18 aufgetauchtes Phänomen, dass iPhones in forensischen Laboren von sich aus neu starten, erschwert US-amerikanischen Strafverfolgungsbehörden aktuell offenbar zunehmend die Arbeit. Sicherheitsforscher berichteten am Wochenende, dass dies offenbar auf eine neue Funktion in iOS 18.1 zurückgeht, die Geräte nach einer bestimmten Zeit ohne Entsperrung neu startet. Laut eines Medienberichts von 404 Media wird in Ermittlerkreisen vermutet, dass Apple mit der im September veröffentlichten Version des iPhone-Betriebssystems eine neue Sicherheitsfunktion implementiert haben könnte. Aufgrund der ungewollten Neustarts seien sichergestellte Geräte für die Ermittler derzeit vielfach deutlich schwerer zu entsperren. Der Bericht beruft sich auf anonyme Quellen und zitiert aus kursierenden Hinweisschreiben.

Durch den Reboot gelangen die betroffenen Geräte in einen sicheren Modus. Die Ermittler unterscheiden dabei zwischen zwei Zuständen: "After first Unlock" (AFU) und "Before first Unlock" (BFU). Wer ein iPhone neu startet, kann das Gerät beim ersten Öffnen nicht mit biometrischen Verfahren wie Face ID oder Touch ID aufschließen, sondern muss einmal seinen Gerätecode eingeben. Die Ermittler und Forensiker nennen diesen Zustand BFU. AFU hingegen bedeutet, dass der Nutzer des Geräts, von dem dieses sichergestellt wurde, das iPhone nach dem letzten Neustart schon einmal aufgeschlossen hat.

Phänomen tritt seit iOS 18 auf

Seit Veröffentlichung von iOS 18 werde immer häufiger beobachtet, dass Geräte nach längerer Zeit ohne Mobilfunkverbindung in Labore plötzlich neu starten und in den BFU-Modus wechseln. Damit geht offenbar einher, dass iPhones auch besser gegen Entsperrversuche mit speziellen Geräten, wie sie etwa von der Firma Cellebrite angeboten werden, geschützt sind. Es gibt auch Vermutungen, dass dabei andere Geräte in der Umgebung eine Rolle spielen könnten – ähnlich der Funktion des Wo-ist-Netzwerks, wo Geräte wie die AirTags nahegelegene iPhones und iPads nutzen, um ihren Standort über das Netz zu kommunizieren.

Dafür, dass es sich um eine Funktion handelt, die vom iPhone alleine ausgeht, spricht hingegen, dass das Phänomen auch bei Geräten im Flugzeugmodus beobachtet wurde. Auch Abschirmung in Faraday-Behältern zeigte keine Änderung.

Nach Erscheinen des ersten Berichts verdichteten sich die Hinweise, dass Apple eine Art "Reboot nach Inaktivität" in iOS 18.1 eingeführt hat. Auf Mastodon berichtete eine Sicherheitsforscherin namens jiska, dass sie Funktion in der Kernel Extension AppleSEPKeyStore und in keybagd entdeckt habe. Der Keybag ist eine Art Container für kryptografische Schlüssel auf dem iPhone, während der AppleSEPKeyStore ein Teil der Secure Enclave ist. Offenbar habe Apple eingeführt, dass sich ein Gerät nach länger Zeit ohne Entsperrung automatisch neu startet, um in einen besser geschützten Zustand zu wechseln, was etwa auch nach dem Diebstahl eines Geräts die Nutzerdaten besser schützt. Eine Wechselwirkung mit anderen Geräten oder der Netzwerksituation ist nicht erkennbar.

Kein offizielles Feature

Apple selbst hat bislang keine Aussagen dazu getätigt, ob es eine neue Sicherheitsfunktion gibt. Verwunderlich wäre dies aber nicht, da Apple und US-Ermittler sich schon seit vielen Jahren ein Katz-und-Maus-Spiel liefern, dass Apple zugunsten seiner Nutzer seine Geräte in puncto Sicherheit weiter verbessert und Ermittler mithilfe von speziellen Dienstleistern gleichziehen. Apples Vorkehrungen führten in der Vergangenheit auch schon zu offenen Konflikten, weil Ermittler sich dadurch in ihrer Arbeit behindert fühlten.

(mki)