1 Punkte von GN⁺ 2024-11-17 | 1 Kommentare | Auf WhatsApp teilen
  • Apples neue iPhone-Software sorgt dafür, dass ein Gerät automatisch neu startet, wenn es 72 Stunden lang nicht entsperrt wurde, und erschwert so den Datenzugriff bei längerer Beschlagnahmung oder nach Verlust
  • Für den inactivity reboot in iOS 18 wurde durch ein Demo-Video von Jiska Classen und eine Bestätigung von Magnet Forensics ein 72-Stunden-Timer nachgewiesen
  • Nach dem Neustart befindet sich das iPhone in einem sichereren Zustand, in dem die Verschlüsselungsschlüssel im Secure Enclave gesperrt sind, sodass es mit günstigen oder älteren forensischen Tools schwerer zu entsperren ist
  • Die forensische Zugänglichkeit hängt vom Zustand BFU(Before First Unlock) bzw. AFU(After First Unlock) ab; ein Neustart setzt ein „hot“-Gerät wieder in den schwierigeren „cold“-Zustand zurück
  • Die Funktion verzögert den Zugriff durch Diebe und einige forensische Tools, blockiert Strafverfolger laut Classen aber nicht vollständig; drei Tage seien genug, um Fachanalysten und Abläufe zu koordinieren

Automatischer Neustart nach 72 Stunden Inaktivität

  • Die neue iPhone-Software enthält eine Sicherheitsfunktion, bei der das Gerät von selbst neu startet, wenn es 72 Stunden lang nicht entsperrt wurde
  • 404 Media berichtet, dass einige iPhones aus unbekannten Gründen neu gestartet wurden, wodurch Strafverfolgungsbehörden und Forensik-Experten Schwierigkeiten beim Zugriff auf Geräte und beim Extrahieren von Daten hatten
  • Danach bestätigten Sicherheitsforscher, dass iOS 18 einen inactivity reboot enthält, der das Gerät zu einem erzwungenen Neustart veranlasst
  • Die Forscherin Jiska Classen vom Hasso Plattner Institute veröffentlichte ein Demo-Video, das die Funktion zeigt; darin ist zu sehen, wie ein iPhone nach 72 Stunden ohne Entsperrung neu startet
  • Auch Magnet Forensics, Anbieter digitalforensischer Produkte einschließlich Graykey, einem Tool zum Extrahieren von Daten aus iPhones und Android-Geräten, bestätigte, dass der Timer 72 Stunden beträgt

BFU und AFU bestimmen den Schwierigkeitsgrad der Forensik

  • Der inactivity reboot versetzt das iPhone in einen sichereren Zustand und sperrt die Verschlüsselungsschlüssel des Nutzers im Secure-Enclave-Chip
  • Classen geht davon aus, dass es für Diebe schwieriger wird, ein iPhone mit günstigen und älteren forensischen Tools zu entsperren, selbst wenn es lange eingeschaltet bleibt
  • Auch für Strafverfolgungsbehörden, die Daten von Geräten von Kriminellen sichern wollen, wird die Arbeit schwieriger, doch allein diese Funktion verhindert den Zugriff nicht vollständig
    • Drei Tage seien weiterhin genug Zeit, um Fachanalysten und Verfahren zu koordinieren
  • Beim iPhone gibt es zwei Zustände, die Versuche beeinflussen, ein Passwort per Brute Force zu knacken oder mithilfe von Software-Schwachstellen Daten zu extrahieren
    • BFU(Before First Unlock): Nutzerdaten sind vollständig verschlüsselt, und ohne Passwort ist ein Zugriff nahezu unmöglich
    • AFU(After First Unlock): Ein Teil der Daten ist bereits entschlüsselt, sodass einige forensische Tools sie leichter extrahieren können, selbst wenn das Telefon gesperrt ist
  • Der iPhone-Sicherheitsforscher Tihmstar bezeichnet diese beiden Zustände auch als cold- bzw. hot-Gerät
    • Viele Forensik-Unternehmen konzentrieren sich auf „hot“-Geräte im AFU-Zustand, bei denen der Nutzer einmal das richtige Passwort eingegeben hat
    • Der Grund ist, dass passwortbezogene Informationen dann im Speicher der iPhone Secure Enclave abgelegt sind
    • Ein neu gestartetes „cold“-Gerät lässt sich nicht ohne Weiteres aus dem Speicher auslesen und ist daher deutlich schwerer zu kompromittieren
  • Apple hat über Jahre hinweg neue Sicherheitsfunktionen hinzugefügt, gegen die sich Strafverfolgungsbehörden ausgesprochen haben, weil sie deren Arbeit erschweren
  • 2016 reichte das FBI Klage ein, um Apple zur Entwicklung einer Hintertür zum Entsperren des iPhones eines Todesschützen zu zwingen; später half das australische Startup Azimuth Security dem FBI dabei, genau dieses iPhone zu hacken
  • Apple reagierte nicht auf eine Bitte um Stellungnahme

1 Kommentare

 
GN⁺ 2024-11-17
Meinungen auf Hacker News
  • Zahlungsterminals müssen wegen der PCI-Anforderungen regelmäßig neu gestartet werden, und fast alle im Handel erhältlichen Point-of-Sale-Terminals starten alle 24 Stunden neu

    • Wirkt wie eine gute Strategie der Defense in Depth. Bei den meisten heutigen Systemen ist die Sicherheit der Boot Chain ziemlich ordentlich, sodass man nach einem Neustart davon ausgehen kann, dass das System in einem gültigen Zustand ist und potenziell bösartige Änderungen verschwunden sind
    • Dass Apple beim iPhone einen ähnlichen Ansatz einführt, dürfte auf derselben Idee beruhen, nur eben angewandt auf den Schutz persönlicher Daten
    • Die Boeing 787 macht das auch so
    • Ich starte mein iPhone unabhängig davon, ob es nötig ist, jedes Wochenende neu
  • Es wäre gut, wenn man diese Einstellung auf eine kürzere Zeit setzen könnte. Wenn man sein Telefon einen ganzen Tag lang nicht entsperrt hat, ist etwas ungewöhnlich, und es sollte zusätzlicher Sicherheitsverdacht gelten

    • Ich habe nachgesehen, ob das mit der eingebauten App Shortcuts geht, und dachte zuerst, es gehe nicht, weil es keine Aktion „Restart“ gab
      Es stellte sich heraus, dass ich an der falschen Stelle gesucht hatte; sie ist als Option der Aktion „Shut Down“ verfügbar
    • Ein System, das neu startet, wenn es sich nicht in der Nähe eines bestimmten Airtag oder eines ähnlichen Geräts befindet, wäre wohl auch sinnvoll. Natürlich müsste man es durch Entsperren umgehen können
    • Um die Unannehmlichkeiten zu minimieren, wenn man das Telefon einfach nur nicht angefasst hat, wären etwa 12 Stunden für mich ideal
    • Das lässt sich lösen, indem man eine Automatisierung per Kurzbefehl erstellt, die das Telefon täglich neu startet
  • Diese „neue“ Funktion wird bereits von GrapheneOS unterstützt; der Standardwert liegt dort bei 18 Stunden, und Nutzer können ihn nach Wunsch anpassen. Es gibt keinen guten Grund, allen 72 Stunden aufzuzwingen; das ist eine nutzerfeindliche Designentscheidung

    • Tatsächlich scheint sie nur zu greifen, wenn das Telefon drei Tage lang nicht erfolgreich entsperrt wurde. Die meisten Nutzer werden die Funktion daher kaum bemerken
    • Die Funktion, den Kamerablitz als Taschenlampe zu verwenden, habe ich zuerst in Cyanogenmod 7 gesehen. Auch der Wi-Fi-Hotspot auf dem Telefon begann als Cydia-App zu einer Zeit, als die offiziellen Apps kaum brauchbar waren
      Das Hacking-Ökosystem hat den Telefonen immer die coolsten Funktionen gebracht, aber die Hersteller haben es immer schwieriger gemacht, auf solche Funktionen zuzugreifen
    • Auf meinem privaten GrapheneOS-Telefon ist das eine unverzichtbare Funktion. Da ich es normalerweise nur ein- oder zweimal am Tag benutze, ist es bei jeder Nutzung fast frisch neu gestartet
      Ich habe gelesen, dass viele neue Exploits im mobilen Bereich nur im Speicher existieren und sich durch einen einfachen Neustart abwehren lassen; dazu zählt wohl auch die berüchtigte Pegasus-Spyware
    • Vermutlich ist es eher ein Kompromiss. Eine so lange Verzögerung vermeidet reißerische Schlagzeilen über wütende Nutzer wegen zufälliger Neustarts und ist auch nicht kurz genug, dass Bundesbehörden öffentlich reagieren und Trump erneut um Backdoors bitten
      Gleichzeitig ist es außerhalb der Tech-Community ein unauffälliges Update mit niedrigem Profil, sodass Kleinkriminelle sich möglicherweise nicht richtig darauf vorbereiten. Wenn es eine nutzerfeindliche Designentscheidung wäre, hätten sie es gar nicht erst implementiert
      Apples typische Art ist es, allgemeine Standardwerte festzulegen und die Nutzer nicht zu behelligen; manchmal ist das gut, manchmal schlecht
    • Ich frage mich, wie sich Graphene in der Praxis anfühlt
  • Wenn das stimmt, wäre es eine kleine Verbesserung, daraus eine konfigurierbare Option zu machen. 72 Stunden als Standard, und wer höhere Sicherheitsanforderungen hat, sollte auf 12 Stunden oder noch weniger heruntergehen können

    • Wenn es konfigurierbar wäre, würde ich es auf 30 Minuten setzen und es erhöhen, falls es unbequem wird. Ich nutze mein Telefon ohnehin immer im Nicht-stören-Modus, daher sind durch Neustarts verzögerte Benachrichtigungen kein Problem, und alle 30 Minuten statt FaceID den Code einzugeben, stört mich auch nicht besonders
    • Wenn es konfigurierbar ist, könnte es schwierig sein, es so in der Secure Enclave hart zu codieren, dass es nach einem Jailbreak des Telefons nicht deaktiviert werden kann
    • Zustimmung, aber dass Apple 72 Stunden gewählt hat, klingt nach einer Entscheidung, der Polizei Zeit zu geben. Vielleicht, weil die Polizei organisierter ist als Kriminelle
    • Es konfigurierbar zu machen, ist der logische nächste Schritt
  • Diese Funktion scheint die SMS-Weiterleitung zwischen iDevices zu stören. Ich habe es auf die harte Tour gemerkt, weil einige Lieferbenachrichtigungen erst ankamen, nachdem ich mein Zweit-iPhone entsperrt und die Nachrichten-App geöffnet hatte

  • Ich verstehe, dass ein gesperrtes Telefon bereits alles im Speicher haben muss. Aber ich frage mich, welches technische Hindernis Apple daran hindert, den gesperrten Zustand so sicher zu machen wie direkt nach einem Neustart

    • Im Zustand vor der ersten Entsperrung sind Benachrichtigungsvorschauen, Kontaktinformationen eingehender Anrufe und andere nutzerspezifische Daten noch nicht entschlüsselt und bleiben gesperrt. Solche Dinge würden auch die Nutzererfahrung stark verändern, deshalb macht Apple es nicht so
    • Es gibt eine gute Erklärung dazu, wie das kryptografisch umgesetzt ist: https://www.youtube.com/watch?v=BLGFriOKz6U
    • Ich denke, das Hindernis liegt weniger in der Technik als in der User Experience
  • 404Media scheint das zuerst bestätigt zu haben. Vielleicht auch nicht. Es ist ein Artikel für Abonnenten, und ich konnte keinen Archivlink finden, über den man den gesamten Inhalt sehen kann, aber das Medium macht gute Arbeit und ist unterstützenswert
    https://www.404media.co/apple-quietly-introduced-iphone-rebo...

  • Automatische Neustarts gibt es auf Samsung-Telefonen seit Android 5 Lollipop, also seit zehn Jahren. Schön, dass der technische Fortschritt am Ende auch Apple erreicht

    • Aus Sicherheitssicht ist das nicht dieselbe Funktion. Das ist eher Performance-Management, ähnlich wie bei einem alten Windows-PC, den man neu startet
      BFU bei Android, also der Zustand vor der ersten Entsperrung, ist dem iPhone ziemlich ähnlich: Daten bleiben gesperrt, Benachrichtigungen kommen nicht an, und Apps werden nicht ausgeführt. Erst nach der ersten Entsperrung starten Apps, Benachrichtigungen kommen herein, und auch der für Angreifer anfälligere Zustand beginnt dann
      Ich nutze sowohl iPhone als auch Android; mein aktuelles Android-Gerät ist das neue Z Fold 5. Das Fold 5 startet jede Woche automatisch neu, aber nach dem Neustart laufen die üblichen Hintergrund-Apps wieder, und Benachrichtigungen funktionieren normal
      Das bedeutet, dass Android – genauer gesagt OneUI, das Samsung über Android legt – keinen „vollständigen“ Neustart durchführt und nicht den Sicherheitsvorteil bietet, das Telefon wie Apple im BFU- oder Cold-Zustand zu belassen
  • Ich frage mich, warum man Speicher für Programmbefehle und Datenspeicher nicht gleich physisch trennt. Soweit ich weiß, gibt es auf Seitenebene eine ähnliche Annäherung, aber warum sollte man den Kernel überhaupt seinen eigenen Speicher ändern lassen
    Vielleicht wäre so etwas wie eine Speichereinheit möglich, die nur signierte Seiten lädt

    • Was du verlangst, ist kein Von-Neumann-Rechner, sondern ein Computer mit Harvard-Architektur. Das bringt Kompromisse mit sich
      Zu bedenken ist, dass JIT eine sehr nützliche Technik ist und der Verlust davon ziemlich teuer wäre; außerdem behandeln Interpreter Datenspeicher weiterhin wie Speicher für Programmbefehle, sodass der Vorteil dieser Trennung begrenzt ist
    • Ich weiß nicht, worauf das eine Antwort sein soll. Es funktioniert bereits so, und der Kernel kann seine eigenen Code-Seiten nicht verändern. Es gibt aber noch viele verbleibende Angriffsflächen, etwa Angriffe, die Funktionszeiger oder andere Daten überschreiben
    • iOS funktioniert bereits so
  • Frage: Zeigt der Apple-Neustartbildschirm wirklich dmesg-Logs an?

    • Vermutlich ist das ein Security Research Device. https://security.apple.com/research-device/
    • In der finalen Version wohl nicht; Sicherheitsforscher, die die Entwickler-Beta nutzen, hatten wahrscheinlich einen detaillierten Log-Modus aktiviert