Das "Find My"-Feature von iPhones ist eine nützliche Sache. Ein verloren gegangenes Smartphone kann darüber auch dann noch aufgespürt werden, wenn es "ausgeschaltet" wurde. Gleichzeitig bedeutet dies aber auch, dass ein iPhone zunächst nicht wirklich vollständig ausgeschaltet wird. Stattdessen wechselt es für die ersten 24 Stunden in einen speziellen Low-Power-Modus, der exakt für diesen Anwendungsfall gedacht ist.

Szenario

Wer sich jetzt denkt: Das könnten doch Angreifer auch nutzen, um darüber Spionage zu betreiben, der denkt richtig. Genau das demonstrieren Sicherheitsforscher nun – auch wenn die konkrete Gefahr dabei eher gering ist, da dafür allerlei Voraussetzungen erfüllt sein müssen, die bei regulären iPhones nicht gegeben sind.

Aber der Reihe nach: Die Attacke zielt auf die Bluetooth-Firmware des iPhones ab. Dieses läuft auch in diesem Modus, wird doch darüber nach außen kommuniziert. Um so unerfreulicher, was die Forscher der Technischen Universität von Darmstadt nun herausgefunden haben: Besagte Firmware ist weder digital signiert noch verschlüsselt. Das erlaubt es Angreifern, eine manipulierte Firmware samt Spionagesoftware einzuschmuggeln.

Verankerung

Die derzeitige Implementation des "Low Power Modus" (LPM) sei undurchsichtig und füge neue Gefahren hinzu, resümieren die Forscher denn auch. Zumal eine solche Verankerung in der Firmware nicht einfach über System-Updates entfernt werden könne und somit auch für den üblichen Sicherheitsfunktionen von iOS nicht entdeckt wird. Generell sind so Angriffe gegen die Firmware nur sehr schwer aufzuspüren.

Was das Szenario zu einem von eher theoretischer Natur macht, sind die Voraussetzungen. Laut den Forschern klappt all das nämlich nur bei einem iPhone, das zuvor bereits geknackt wurde – etwa mit einem Jailbreak. Was allerdings sehr wohl denkbar wäre, ist, dass Spionagesoftwarehersteller wie NSO dies nutzen, um sich nach der Installation ihres Trojaners noch tiefer auf dem Geräte zu verankern, wie Arstechnica herausstreicht.

Lehren

Nicht zuletzt ist das Ganze ein Reminder für zwei Dinge: einerseits, dass jedes neue Feature auch eine neue Angriffsfläche bietet – in diesem Fall eine besonders problematische. Aber auch, dass es eine sehr schlechte Idee ist, die Firmware solcher Geräte nicht stärker abzusichern. (apo, 17.5.2022)