Apples neue Sicherheitsfunktion: iPhones starten nach 72 Stunden ohne Entsperrung automatisch neu
(techcrunch.com)- Apples neue iPhone-Software sorgt dafür, dass ein Gerät automatisch neu startet, wenn es 72 Stunden lang nicht entsperrt wurde, und erschwert so den Datenzugriff bei längerer Beschlagnahmung oder nach Verlust
- Für den inactivity reboot in iOS 18 wurde durch ein Demo-Video von Jiska Classen und eine Bestätigung von Magnet Forensics ein 72-Stunden-Timer nachgewiesen
- Nach dem Neustart befindet sich das iPhone in einem sichereren Zustand, in dem die Verschlüsselungsschlüssel im Secure Enclave gesperrt sind, sodass es mit günstigen oder älteren forensischen Tools schwerer zu entsperren ist
- Die forensische Zugänglichkeit hängt vom Zustand BFU(Before First Unlock) bzw. AFU(After First Unlock) ab; ein Neustart setzt ein „hot“-Gerät wieder in den schwierigeren „cold“-Zustand zurück
- Die Funktion verzögert den Zugriff durch Diebe und einige forensische Tools, blockiert Strafverfolger laut Classen aber nicht vollständig; drei Tage seien genug, um Fachanalysten und Abläufe zu koordinieren
Automatischer Neustart nach 72 Stunden Inaktivität
- Die neue iPhone-Software enthält eine Sicherheitsfunktion, bei der das Gerät von selbst neu startet, wenn es 72 Stunden lang nicht entsperrt wurde
- 404 Media berichtet, dass einige iPhones aus unbekannten Gründen neu gestartet wurden, wodurch Strafverfolgungsbehörden und Forensik-Experten Schwierigkeiten beim Zugriff auf Geräte und beim Extrahieren von Daten hatten
- Danach bestätigten Sicherheitsforscher, dass iOS 18 einen inactivity reboot enthält, der das Gerät zu einem erzwungenen Neustart veranlasst
- Die Forscherin Jiska Classen vom Hasso Plattner Institute veröffentlichte ein Demo-Video, das die Funktion zeigt; darin ist zu sehen, wie ein iPhone nach 72 Stunden ohne Entsperrung neu startet
- Auch Magnet Forensics, Anbieter digitalforensischer Produkte einschließlich Graykey, einem Tool zum Extrahieren von Daten aus iPhones und Android-Geräten, bestätigte, dass der Timer 72 Stunden beträgt
BFU und AFU bestimmen den Schwierigkeitsgrad der Forensik
- Der inactivity reboot versetzt das iPhone in einen sichereren Zustand und sperrt die Verschlüsselungsschlüssel des Nutzers im Secure-Enclave-Chip
- Classen geht davon aus, dass es für Diebe schwieriger wird, ein iPhone mit günstigen und älteren forensischen Tools zu entsperren, selbst wenn es lange eingeschaltet bleibt
- Auch für Strafverfolgungsbehörden, die Daten von Geräten von Kriminellen sichern wollen, wird die Arbeit schwieriger, doch allein diese Funktion verhindert den Zugriff nicht vollständig
- Drei Tage seien weiterhin genug Zeit, um Fachanalysten und Verfahren zu koordinieren
- Beim iPhone gibt es zwei Zustände, die Versuche beeinflussen, ein Passwort per Brute Force zu knacken oder mithilfe von Software-Schwachstellen Daten zu extrahieren
- BFU(Before First Unlock): Nutzerdaten sind vollständig verschlüsselt, und ohne Passwort ist ein Zugriff nahezu unmöglich
- AFU(After First Unlock): Ein Teil der Daten ist bereits entschlüsselt, sodass einige forensische Tools sie leichter extrahieren können, selbst wenn das Telefon gesperrt ist
- Der iPhone-Sicherheitsforscher Tihmstar bezeichnet diese beiden Zustände auch als cold- bzw. hot-Gerät
- Viele Forensik-Unternehmen konzentrieren sich auf „hot“-Geräte im AFU-Zustand, bei denen der Nutzer einmal das richtige Passwort eingegeben hat
- Der Grund ist, dass passwortbezogene Informationen dann im Speicher der iPhone Secure Enclave abgelegt sind
- Ein neu gestartetes „cold“-Gerät lässt sich nicht ohne Weiteres aus dem Speicher auslesen und ist daher deutlich schwerer zu kompromittieren
- Apple hat über Jahre hinweg neue Sicherheitsfunktionen hinzugefügt, gegen die sich Strafverfolgungsbehörden ausgesprochen haben, weil sie deren Arbeit erschweren
- 2016 reichte das FBI Klage ein, um Apple zur Entwicklung einer Hintertür zum Entsperren des iPhones eines Todesschützen zu zwingen; später half das australische Startup Azimuth Security dem FBI dabei, genau dieses iPhone zu hacken
- Apple reagierte nicht auf eine Bitte um Stellungnahme
1 Kommentare
Meinungen auf Hacker News
Zahlungsterminals müssen wegen der PCI-Anforderungen regelmäßig neu gestartet werden, und fast alle im Handel erhältlichen Point-of-Sale-Terminals starten alle 24 Stunden neu
Es wäre gut, wenn man diese Einstellung auf eine kürzere Zeit setzen könnte. Wenn man sein Telefon einen ganzen Tag lang nicht entsperrt hat, ist etwas ungewöhnlich, und es sollte zusätzlicher Sicherheitsverdacht gelten
Es stellte sich heraus, dass ich an der falschen Stelle gesucht hatte; sie ist als Option der Aktion „Shut Down“ verfügbar
Diese „neue“ Funktion wird bereits von GrapheneOS unterstützt; der Standardwert liegt dort bei 18 Stunden, und Nutzer können ihn nach Wunsch anpassen. Es gibt keinen guten Grund, allen 72 Stunden aufzuzwingen; das ist eine nutzerfeindliche Designentscheidung
Das Hacking-Ökosystem hat den Telefonen immer die coolsten Funktionen gebracht, aber die Hersteller haben es immer schwieriger gemacht, auf solche Funktionen zuzugreifen
Ich habe gelesen, dass viele neue Exploits im mobilen Bereich nur im Speicher existieren und sich durch einen einfachen Neustart abwehren lassen; dazu zählt wohl auch die berüchtigte Pegasus-Spyware
Gleichzeitig ist es außerhalb der Tech-Community ein unauffälliges Update mit niedrigem Profil, sodass Kleinkriminelle sich möglicherweise nicht richtig darauf vorbereiten. Wenn es eine nutzerfeindliche Designentscheidung wäre, hätten sie es gar nicht erst implementiert
Apples typische Art ist es, allgemeine Standardwerte festzulegen und die Nutzer nicht zu behelligen; manchmal ist das gut, manchmal schlecht
Wenn das stimmt, wäre es eine kleine Verbesserung, daraus eine konfigurierbare Option zu machen. 72 Stunden als Standard, und wer höhere Sicherheitsanforderungen hat, sollte auf 12 Stunden oder noch weniger heruntergehen können
Diese Funktion scheint die SMS-Weiterleitung zwischen iDevices zu stören. Ich habe es auf die harte Tour gemerkt, weil einige Lieferbenachrichtigungen erst ankamen, nachdem ich mein Zweit-iPhone entsperrt und die Nachrichten-App geöffnet hatte
Ich verstehe, dass ein gesperrtes Telefon bereits alles im Speicher haben muss. Aber ich frage mich, welches technische Hindernis Apple daran hindert, den gesperrten Zustand so sicher zu machen wie direkt nach einem Neustart
404Media scheint das zuerst bestätigt zu haben. Vielleicht auch nicht. Es ist ein Artikel für Abonnenten, und ich konnte keinen Archivlink finden, über den man den gesamten Inhalt sehen kann, aber das Medium macht gute Arbeit und ist unterstützenswert
https://www.404media.co/apple-quietly-introduced-iphone-rebo...
Automatische Neustarts gibt es auf Samsung-Telefonen seit Android 5 Lollipop, also seit zehn Jahren. Schön, dass der technische Fortschritt am Ende auch Apple erreicht
BFU bei Android, also der Zustand vor der ersten Entsperrung, ist dem iPhone ziemlich ähnlich: Daten bleiben gesperrt, Benachrichtigungen kommen nicht an, und Apps werden nicht ausgeführt. Erst nach der ersten Entsperrung starten Apps, Benachrichtigungen kommen herein, und auch der für Angreifer anfälligere Zustand beginnt dann
Ich nutze sowohl iPhone als auch Android; mein aktuelles Android-Gerät ist das neue Z Fold 5. Das Fold 5 startet jede Woche automatisch neu, aber nach dem Neustart laufen die üblichen Hintergrund-Apps wieder, und Benachrichtigungen funktionieren normal
Das bedeutet, dass Android – genauer gesagt OneUI, das Samsung über Android legt – keinen „vollständigen“ Neustart durchführt und nicht den Sicherheitsvorteil bietet, das Telefon wie Apple im BFU- oder Cold-Zustand zu belassen
Ich frage mich, warum man Speicher für Programmbefehle und Datenspeicher nicht gleich physisch trennt. Soweit ich weiß, gibt es auf Seitenebene eine ähnliche Annäherung, aber warum sollte man den Kernel überhaupt seinen eigenen Speicher ändern lassen
Vielleicht wäre so etwas wie eine Speichereinheit möglich, die nur signierte Seiten lädt
Zu bedenken ist, dass JIT eine sehr nützliche Technik ist und der Verlust davon ziemlich teuer wäre; außerdem behandeln Interpreter Datenspeicher weiterhin wie Speicher für Programmbefehle, sodass der Vorteil dieser Trennung begrenzt ist
Frage: Zeigt der Apple-Neustartbildschirm wirklich dmesg-Logs an?