Marlene
Letzte Woche hatte ich ja schon von der seit iOS 18.1 verbauten Sicherheits-Funktion berichtet, die den Neustart eines iPhones triggert, das drei Tage inaktiv war. Eine Forscherin hat das neue Feature, das unter dem Titel „Inacitvity Reboot“ (deutsch: Inaktivitäts-Neustart) firmiert, genauer untersucht und dessen Funktionswiese rekonstruiert.
Wie die Forscherin, Jiska Classen, im Code herausfinden konnte, wurde Inactivity Reboot unter iOS 18.1 eingeführt. Der untersuchte Code von iOS 18.2 legt dabei nahe, dass Apple weiterhin an der Funktion arbeitet und Verbesserungen vornimmt.
Die Funktion nutzt den sogenannten Secure Enclave Prozessor (SEP) des iPhones, um zu tracken, wann das iPhone zuletzt entsperrt wurde. Liegt die letzte Entsperrung mehr als drei Tage zurück, meldet der SEP das an einen Kernel, der dann den iOS-Core „Springboard“ abschaltet und einen Neustart einleitet.
Apple hat mehrere Sicherheits-Mechanismen eingebaut
Dabei hat Apple laut Classen diverse Hindernisse implementiert, die Hacker davon abhalten sollen, diesen Prozess zu umgehen, wenn sie ein iPhone auslesen wollen. So werde etwa eine „Kernel-Panik“ ausgelöst, wenn der Kernel aktiv daran gehindert wird, das iPhone neu zu starten. Diese Kernel-Panik sorge dann für den Absturz des Geräts und in der Folge für einen Neustart. Zusätzlich sende das System Analyse-Daten an Apple, wenn ein Gerät in den Zustand „aks-inactivity“ versetzt wird.
Da der Inactivity Reboot ausschließlich über den SEP und nicht den Haupt-iOS-Kernel läuft, sei es laut Classen viel schwieriger, diesen Neustart zu umgehen. Das gelte auch dann, wenn der Hauptkernel zum Beispiel durch ein Jailbreak-Tool kompromittiert wurde.
Auf einem iPhone, das sich im Neustart-Modus, oder „Before First Unlock“-Modus befindet, sind alle Daten verschlüsselt, bis der Benutzer das Gerät mithilfe seines Passcodes entsperrt. Auch Sicherheitsunternehmen wie Cellebrite, die darauf spezialisiert sind, Daten von gesperrten iPhones auszulesen, räumen ein, dass es sehr schwierig sei, Daten von Geräten im BFU-Modus zu extrahieren.
Apple schweigt zu Inactivity Reboot
Apple selbst kommuniziert nicht zu der neuen Funktion und hält alles, was den SEP betrifft, einschließlich der Firmware geheim. So ist auch nicht bekannt, warum Apple diese neue Funktion in iOS 18 implementiert hat. Es dürfte aber wahrscheinlich sein, dass das Unternehmen damit gegen Tools wie die von Cellebrite und Pegasus Spyware vorgehen will, die häufig von Strafverfolgungsbehörden verwendet werden.
Wer Jiska Classens Rekonstruktion von Inactitvity Reboot im Detail nachlesen möchte, kann dies hier auf ihrem Blog tun.
Fabian
