{"id":28878,"date":"2022-06-13T14:12:36","date_gmt":"2022-06-13T12:12:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28878"},"modified":"2022-06-13T14:12:36","modified_gmt":"2022-06-13T12:12:36","slug":"hacking-powered-off-iphone","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hacking-powered-off-iphone\/28878\/","title":{"rendered":"Schwachstellen schlafen nie: M\u00f6gliche Hackerangriffe auf ausgeschaltete iPhones"},"content":{"rendered":"

Forscher des Secure Mobile Networking Lab <\/em>der TU Darmstadt haben ein Paper ver\u00f6ffentlicht, das die theoretische Methode zum Hacken eines iPhones beschreibt \u2013 selbst wenn das Ger\u00e4t ausgeschaltet ist. Im Rahmen der Studie wurde der Betrieb der drahtlosen Module untersucht. Die Forscher entdeckten M\u00f6glichkeiten, die Bluetooth-Firmware zu analysieren und folglich Malware einzuschleusen, die vollst\u00e4ndig unabh\u00e4ngig von iOS, dem Betriebssystem des Ger\u00e4ts, ausgef\u00fchrt werden kann.<\/p>\n

Mit ein wenig Fantasie kann man sich leicht ein Szenario vorstellen, bei dem Angreifer ein infiziertes Smartphone in die N\u00e4he des Ger\u00e4tes ihres Zielobjekts halten und so Malware ganz einfach \u00fcbertragen, um dann Kreditkartendetails oder sogar virtuelle Fahrzeugschl\u00fcssel zu entwenden.<\/p>\n

Kann ein Ger\u00e4t im ausgeschalteten Zustand gehackt werden? Neuere Studien deuten darauf hin. Aber wie ist das \u00fcberhaupt m\u00f6glich?<\/p>Tweet<\/a><\/blockquote>\n

Das Szenario erfordert deshalb ein gewisses Ma\u00df an Vorstellungsverm\u00f6gen, weil die Autoren des Papers dieses nicht wirklich demonstriert und einen Schritt vor einer praktischen Angriffsimplementierung Halt gemacht haben. Trotzdem haben die Forscher auch ohne diesen letzten ausschlaggebenden Schritt viel Zeit und Arbeit auf sich genommen, um diese undokumentierte Funktionalit\u00e4t des Smartphones zu analysieren, die Ausgangs-Konstruktion der Bluetooth-Firmware herauszuarbeiten und verschiedene Szenarien f\u00fcr die Verwendung von drahtlosen Modulen zu modellieren.<\/p>\n

Wenn der Angriff allerdings nicht in die Praxis umgesetzt wurde, worum geht es dann \u00fcberhaupt in diesem Beitrag? Bevor wir darauf genauer eingehen, sei bereits so viel gesagt: Ist eine Interaktion mit einem ausgeschalteten Ger\u00e4t noch immer m\u00f6glich, dann ist dieses Ger\u00e4t alles nur nicht vollst\u00e4ndig abgeschaltet.<\/p>\n

Aber wie sind wir \u00fcberhaupt zu der Annahme gekommen, dass \u201eausgeschaltet\u201c nicht gleich \u201eausgeschaltet\u201c bedeutet? Fangen wir von vorne an \u2026<\/p>\n

<\/h2>\n

Apple\u2019s Stromsparmodus<\/h2>\n

Im Jahr 2021 k\u00fcndigte Apple an, dass der Dienst \u201eFind My\u201c, der zum Auffinden eines abhanden gekommenen Ger\u00e4ts eingesetzt wird, nun auch dann funktioniert, wenn das Ger\u00e4t ausgeschaltet ist. Diese Neuerung ist f\u00fcr iPhone-11-Modelle oder neuer verf\u00fcgbar.<\/p>\n

Verlieren Sie Ihr iPhone oder wird dieses gestohlen und der Akku geht leer, schaltet sich das Ger\u00e4t nicht vollst\u00e4ndig aus, sondern wechselt in den Stromsparmodus, der nur einen sehr begrenzten Modulsatz am Leben erh\u00e4lt. Dies sind in erster Linie die Funkmodule Bluetooth und Ultra-Wideband (UWB) sowie NFC. Auch das sogenannte Secure Element<\/a> \u2013 ein physischer Chip, der die mitunter wertvollsten Daten wie Kreditkartendetails f\u00fcr kontaktloses Bezahlen oder virtuelle Autoschl\u00fcssel speichert \u2013 bleibt erhalten.<\/p>\n

Bluetooth im Stromsparmodus wird f\u00fcr die Daten\u00fcbertragung verwendet, w\u00e4hrend UWB f\u00fcr die Standortbestimmung des Smartphones eingesetzt wird. In diesem Modus sendet das Smartphone Informationen \u00fcber sich selbst aus, auf die auch \u00fcber die iPhones beliebiger Passanten zugegriffen werden kann. Meldet sich der Besitzer eines verlorenen Telefons online bei seinem Apple-Konto an und markiert das Telefon als verloren, werden Informationen von umliegenden Smartphones verwendet, um den Verbleib des Ger\u00e4ts zu ermitteln. Einzelheiten dazu, wie dies funktioniert, finden Sie in unserem letzten Beitrag \u00fcber Stalking via AirTag<\/a>.<\/p>\n

Die Ank\u00fcndigung l\u00f6ste schnell eine hitzige Diskussion unter Informationssicherheitsexperten \u00fcber das Labyrinth potenzieller Sicherheitsrisiken aus. Das Forscherteam aus Deutschland entschied sich, m\u00f6gliche Angriffsszenarien zu testen.<\/p>\n

Beim Ausschalten des Ger\u00e4ts erscheint dem Nutzer nun die Nachricht \u201eiPhone nach dem Ausschalten auffindbar\u201c.<\/p><\/div>\n

\u00a0<\/p>\n

\u201eFind My\u201c nach dem Ausschalten des Ger\u00e4ts<\/h2>\n

Zun\u00e4chst f\u00fchrten die Forscher eine detaillierte Analyse des Find-My-Dienstes im Stromsparmodus durch und entdeckten einige bisher unbekannte Eigenschaften. Nach dem Ausschalten wird die meiste Arbeit vom Bluetooth-Modul erledigt, das durch eine Reihe von iOS-Befehlen neu geladen und konfiguriert wird. Es sendet dann regelm\u00e4\u00dfig Datenpakete \u00fcber die Luft, sodass andere Ger\u00e4te das nicht ganz ausgeschaltete<\/em> iPhone immer noch erkennen k\u00f6nnen.<\/p>\n

Die Dauer des Stromsparmodus ist jedoch begrenzt: In Version iOS 15.3 werden nur 96 Broadcast-Sitzungen mit einem Intervall von 15 Minuten festgelegt. Das bedeutet, dass ein verlorenes und ausgeschaltetes iPhone nur 24 Stunden lang auffindbar ist. Wenn das Telefon aufgrund eines schwachen Akkus in den Stromsparmodus wechselt, betr\u00e4gt dieses Fenster nur rund f\u00fcnf Stunden. Abgesehen von dieser Macke des Features wurde auch ein deutlich besorgniserregender Fehler gefunden: In manchen F\u00e4llen wird der \u201eBeacon\u201c-Modus beim Ausschalten des Ger\u00e4ts gar nicht erst aktiviert.<\/p>\n

Besonders interessant ist hier, dass das Bluetooth-Modul vor dem Ausschalten neu programmiert wird; das hei\u00dft, seine Funktionalit\u00e4t wird grundlegend ge\u00e4ndert. Was aber, wenn es zum Nachteil des Besitzers umprogrammiert werden kann?<\/p>\n

Angriff auf ausgeschaltete Smartphones<\/h2>\n

Tats\u00e4chlich war die wichtigste Entdeckung des Teams, dass die Firmware des Bluetooth-Moduls nicht verschl\u00fcsselt und nicht durch die Secure-Boot-Technologie gesch\u00fctzt ist. Secure Boot beinhaltet eine mehrstufige \u00dcberpr\u00fcfung des Programmcodes beim Start, sodass nur vom Ger\u00e4tehersteller autorisierte Firmware ausgef\u00fchrt werden kann.<\/p>\n

Die fehlende Verschl\u00fcsselung erlaubt eine Analyse der Firmware und die Suche nach Schwachstellen, die sp\u00e4ter f\u00fcr Angriffe ausgenutzt werden k\u00f6nnen. Die fehlende Secure-Boot-Funktion erm\u00f6glicht es einem Angreifer jedoch, den Code des Herstellers vollst\u00e4ndig durch seinen eigenen zu ersetzen, den das Bluetooth-Modul dann ausf\u00fchrt. Zum Vergleich: Die Analyse der UWB-Modul-Firmware des iPhones ergab, dass sie durch Secure Boot gesch\u00fctzt ist, obwohl die Firmware auch nicht verschl\u00fcsselt ist.<\/p>\n

F\u00fcr einen ernsthaften Angriff reicht das nicht aus. Dazu m\u00fcsste ein Angreifer zun\u00e4chst die Firmware analysieren, versuchen, diese durch eine eigene Konstruktion zu ersetzen, und dann nach M\u00f6glichkeiten suchen, sich seinen Weg auf das Smartphone zu bahnen. Die Autoren des Papers beschreiben detailliert das theoretische Modell des Angriffs, zeigen aber nicht, ob das iPhone auch in der Praxis via Bluetooth, NFC oder UWB gehackt werden kann. Aus ihren Ergebnissen geht jedoch klar hervor, dass diese Schwachstellen bei aktiven Modulen immer funktionieren.<\/p>\n

Apple zeigte sich unbeeindruckt von der Studie und lehnte eine Stellungnahme ab. Dies allein sagt jedoch wenig aus: Das Unternehmen achtet darauf, auch in F\u00e4llen ernster und in der Praxis nachgewiesener Bedrohungen zun\u00e4chst ein Pokerface zu bewahren.<\/p>\n

Denken Sie daran, dass Apple viel Wert auf die Wahrung seiner Geheimnisse legt: Forscher m\u00fcssen deshalb mit geschlossenem, oft verschl\u00fcsseltem Softwarecode und mit ma\u00dfgeschneiderten Modulen von Drittanbietern Vorlieb nehmen. Ein Smartphone ist ein gro\u00dfes, komplexes System, das nur schwer durchschaubar ist. Besonders dann, wenn eine detailreiche Durchleuchtung des Ger\u00e4ts nicht im Sinne des Herstellers ist.<\/p>\n

Auch wenn die Ergebnisse des Teams nicht als durchbrechender Fund bezeichnet werden k\u00f6nnen, sind sie dennoch das Ergebnis einer Menge akribischer Arbeit.<\/p>\n

Ausgeschaltet ist nicht gleich ausgeschaltet<\/h2>\n

Prim\u00e4r kann folgender Schluss aus dem Paper gezogen werden: Die Bluetooth-Firmware ist nicht ausreichend gesch\u00fctzt. Es ist theoretisch m\u00f6glich, diese entweder in iOS selbst zu modifizieren oder den Stromsparmodus durch Erweiterung oder \u00c4nderung seiner Funktionalit\u00e4t neu zu programmieren. Auch die UWB-Firmware weist Schwachstellen auf. Das Hauptproblem besteht jedoch darin, dass diese drahtlosen Module (wie auch NFC) direkt mit dem gesch\u00fctzten Secure Element kommunizieren. Das bringt uns zu einigen der aufregendsten Schlussfolgerungen des Papers:<\/p>\n

    \n
  • Theoretisch ist es m\u00f6glich, einen virtuellen Fahrzeugschl\u00fcssel von einem iPhone zu stehlen \u2013 selbst wenn das Ger\u00e4t ausgeschaltet ist! Wenn das iPhone als Autoschl\u00fcssel fungiert, kann der Diebstahl oder Verlust eines Ger\u00e4ts im schlimmsten Fall auch den Verlust des Autos bedeuten. In diesem spezifischen Fall bleibt das eigentliche Smartphone jedoch im Besitz des Nutzers, w\u00e4hrend lediglich der Schl\u00fcssel entwendet wird. Veranschaulicht bedeutet das, dass Kriminelle sich beispielsweise im Einkaufszentrum ihrem Opfer und somit dessen Smartphone n\u00e4hern k\u00f6nnen, um so den virtuellen Schl\u00fcssel zu entwenden.<\/li>\n
  • Es ist theoretisch m\u00f6glich, die vom Bluetooth-Modul gesendeten Daten zu modifizieren, um beispielsweise ein Opfer mit einem Smartphone auszuspionieren \u2013 auch wenn das Telefon ausgeschaltet ist.<\/li>\n
  • Dar\u00fcber hinaus ist der Diebstahl Ihrer Zahlungsinformationen, die sich auf dem Smartphone befinden, ebenfalls m\u00f6glich.<\/li>\n<\/ul>\n

    All das ist allerdings bislang noch reine Theorie. Die Arbeit des Teams der TU zeigt einmal mehr, dass neue Funktionen immer gewisse Sicherheitsrisiken bergen, die ber\u00fccksichtigt werden m\u00fcssen. Vor allem, wenn die Realit\u00e4t so anders ist als die pers\u00f6nliche Wahrnehmung: Sie gehen davon aus, dass Ihr Telefon vollst\u00e4ndig ausgeschaltet ist, obwohl dies in Wirklichkeit gar nicht der Fall ist.<\/p>\n

    Das Problem ist nicht neu. Die Intel Management Engine und die AMD Secure Technology, die auch den Systemschutz und die sichere Fernverwaltung \u00fcbernehmen, sind immer dann aktiv, wenn das Motherboard eines Laptops oder Desktop-Computers an eine Stromquelle angeschlossen ist. Wie im Fall des Bluetooth\/UWB\/NFC\/Secure Element-Bundles in iPhones haben diese Systeme umfangreiche Rechte innerhalb des Computers, und Schwachstellen k\u00f6nnen somit schnell sehr gef\u00e4hrlich werden.<\/p>\n

    Positiv kann die Tatsache gewertet werden, dass das Paper keine unmittelbaren Auswirkungen auf normale Nutzer hat: Die in der Studie gewonnenen Daten sind f\u00fcr einen praktischen Angriff unzureichend. Als todsichere L\u00f6sung schlagen die Autoren die Implementierung eines Hardware-Reglers vor, der die Stromversorgung des Telefons vollst\u00e4ndig unterbricht. Aber angesichts der Phobie des Apfel-Unternehmens vor physischen Tasten, wird das vermutlich reine Theorie bleiben.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Kann ein Ger\u00e4t im ausgeschalteten Zustand gehackt werden? Neuere Studien deuten darauf hin. Aber wie ist das \u00fcberhaupt m\u00f6glich?<\/p>\n","protected":false},"author":665,"featured_media":28882,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,2287],"tags":[109,50,19,1498,2991],"class_list":{"0":"post-28878","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-apple","10":"tag-ios","11":"tag-iphone","12":"tag-schwachstellen","13":"tag-secure-element"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-powered-off-iphone\/28878\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-powered-off-iphone\/24251\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-powered-off-iphone\/19734\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/hacking-powered-off-iphone\/9949\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-powered-off-iphone\/26579\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-powered-off-iphone\/24537\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-powered-off-iphone\/24898\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-powered-off-iphone\/27262\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-powered-off-iphone\/33307\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacking-powered-off-iphone\/10759\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-powered-off-iphone\/44530\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-powered-off-iphone\/19011\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-powered-off-iphone\/19560\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-powered-off-iphone\/25103\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-powered-off-iphone\/30613\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-powered-off-iphone\/30362\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28878","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28878"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28878\/revisions"}],"predecessor-version":[{"id":28885,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28878\/revisions\/28885"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28882"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28878"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28878"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28878"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}