Ein verstecktes iOS 18.1-Upgrade machte es schwieriger, Daten von iPhones zu extrahieren
Apple Intelligence war das bemerkenswerteste Upgrade , das mit der iOS 18-Updateserie auf iPhones eingeführt wurde. Es scheint jedoch, dass Apple die Sicherheitsprotokolle im Hintergrund verstärkt hat, die verhindern könnten, dass sich Kriminelle unbefugten Zugriff auf iPhones verschaffen, die von ihrem rechtmäßigen Besitzer seit einiger Zeit nicht entsperrt wurden.
Anfang dieses Monats berichtete 404Media , dass Strafverfolgungsbehörden über iPhones beunruhigt sind, die auf mysteriöse Weise neu gestartet werden. Unter Berufung auf einen Bericht mit freundlicher Genehmigung von Beamten in Michigan stellt die Verkaufsstelle fest, dass die Neustarts die Möglichkeit beeinträchtigen, durch Brute-Force-Entsperrmethoden auf die auf den Telefonen gespeicherten Daten zuzugreifen.
Im Anschluss an den Bericht erläuterte Dr.-Ing. Jiska Classen , Forscherin für drahtlose und mobile Sicherheit am Hasso-Plattner-Institut, berichtete in den sozialen Medien über eine neue iOS 18.1- Funktion namens Inaktivitäts-Neustart. Es wird aktiviert, wenn auf einem iPhone versucht wird, eine Entsperraktion durchzuführen.
„Während die meisten Menschen ihre Telefone nicht forensisch analysieren lassen, werden ihre Geräte noch viel mehr gestohlen. In beiden Fällen schützt es die Benutzerdaten“, erklärte sie. Das gesamte System hängt von Mustern der Inaktivität ab und davon, wie ein Telefon nach dem Neustart in einen sicheren Zustand übergeht.
Konkret geht ein Telefon nach einem Neustart in den Zustand „Before First Unlock“ (BFU) über. Diese Phase wird erst verlassen, nachdem das Telefon entsperrt wurde. BFU ist eine wichtige Sicherheitsmaßnahme, da es Dateien einzeln auf dem Telefon verschlüsselt, was bedeutet, dass auf sie erst zugegriffen werden kann, nachdem das Telefon entsperrt wurde.
Auf iPhones wird durch das Entsperren nach einem Neustart (oder der BFU-Phase) ein Entschlüsselungsschlüssel generiert, der anschließend die Dateien entschlüsselt und den Zugriff darauf ermöglicht. „Fast der gesamte Inhalt eines iPhones wird verschlüsselt, bis der Benutzer es entsperrt, um das Telefon starten zu können“, erklärt Celleberite, ein Unternehmen, das Geräte herstellt, mit denen Strafverfolgungsbehörden Daten aus Telefonen extrahieren.
Der BFU-Staat scheint den Zugriff auf alle Daten nicht zu blockieren, verhängt jedoch einige gravierende Einschränkungen. „Denken Sie daran: Wenn Sie ein iPhone beschlagnahmen und es bereits eingeschaltet ist, versuchen Sie, dies auch so zu halten“, warnt Cellebrite die Ermittler in einem anderen Blogbeitrag .
Apples neues Inaktivitäts-Neustartsystem stellt ein weiteres Hindernis für den Zugriff auf die Daten auf einem iPhone dar, selbst wenn es längere Zeit nicht entsperrt wurde, dank des automatischen Neustartvorgangs, der das Telefon in den BFU-Modus versetzt.
Nun ist der BFU-Staat selbst nicht für sich genommen undurchdringlich. Cellebrite behauptet, dass sein Premium-Paket – das ein UFED-Gerät und spezielle Software umfasst – dabei helfen kann, Daten von Geräten im BFU-Staat zu extrahieren.
Laut einer Forschungsarbeit von Experten der Fakultät für Elektrotechnik (Fakultät für Ingenieurwissenschaften, Universitas Indonesia) konnten sie jedoch mit dem Cellbrite Premium-System „nur etwa 40 % der Medien sehen, die bei der BFU-Locked-Device-Extraktion gewonnen wurden“.
Apple hat sich noch nicht offiziell zum Inaktivitäts-Neustartsystem geäußert, das es mit iOS 18.1 implementiert hat. Allerdings arbeitet das Unternehmen weiterhin mit den Strafverfolgungsbehörden zusammen, um iPhones mit entsprechendem Haftbefehl oder gesetzlicher Genehmigung zu entsperren.