Schutz durch Einschränkung: Apples neuer Lockdown Mode

Apples neues Feature verspricht einen verbesserten Schutz im Kampf gegen zielgerichtete Angriffe.

Im Juli 2022 kündigte Apple eine neue Schutzfunktion für seine Geräte an. Der sogenannte Lockdown Mode schränkt die Funktionsweise von Apple-Smartphones, -Tablets oder -Laptops stark ein. Ziel ist es, die Erfolgsrate zielgerichteter Angriffe, denen unter anderem Politiker, Aktivisten und Journalisten ausgesetzt sind, so aktiv zu reduzieren. Der Lockdown-Modus soll in den kommenden Versionen von iOS 16 (für Smartphones), iPadOS 16 (für Tablets) und macOS 13 Ventura (für Desktops und Laptops) erscheinen.

Für normale Nutzer dürfte dieser Betriebsmodus jedoch vermutlich mehr Unannehmlichkeiten als Freude mit sich bringen. Aus diesem Grund empfiehlt Apple seine Neuerung lediglich solchen Nutzern, die es für wahrscheinlich halten, zielgerichteten Angriffen ausgesetzt zu sein. In diesem Beitrag analysieren wir die Besonderheiten des Lockdown Mode, vergleichen die neuen Einschränkungen mit den Fähigkeiten bekannter Exploits für Apple-Smartphones und untersuchen, warum dieser Modus zwar nützlich, aber dennoch kein Allheilmittel ist.

 

Der Lockdown Mode im Detail

Vor Ende dieses Jahres können Sie mit der Veröffentlichung der neuen iOS-Versionen den neuen Lockdown-Modus auf Ihrem Apple-Smartphone oder -Tablet in den Einstellungen finden.

Lockdown Mode Aktivierungs-Bildschirm auf einem iPhone.

Lockdown Mode Aktivierungs-Bildschirm auf einem iPhone.

 

Nach Aktivierung des neuen Sperrmodus wird das Gerät neu gestartet und einige kleine (aber für einige Nutzer sehr wichtige) Funktionen sind dann nicht mehr ausführbar. Beispielsweise werden iMessage-Anhänge blockiert und Websites können nicht mehr ordnungsgemäß im Browser geöffnet werden. Für Personen, die nicht zu Ihren Kontakten gehören, wird es zudem schwieriger Sie zu erreichen. All diese Einschränkungen sind Apples Versuch, die von Angreifern am häufigsten ausgenutzten Einstiegspunkte zu schließen.

Betrachtet man den neuen Lockdown Mode unter dem Mikroskop, wird es folgende Einschränkungen auf Ihrem Apple-Gerät geben:

  1. In iMessage werden Ihnen lediglich an Sie gesendete Texte und Bilder angezeigt. Alle anderen Anhänge werden blockiert.
  2. Einige Technologien, darunter die Just-in-time-Kompilierung, werden im Browser deaktiviert.
  3. Alle eingehenden Einladungen zur Kommunikation über Apple-Dienste werden blockiert. Sie können beispielsweise keinen FaceTime-Anruf tätigen, wenn Sie zuvor nicht mit dem anderen Benutzer gechattet haben.
  4. Bei aktivierter Tastensperre interagiert Ihr Smartphone in keinster Weise mit Ihrem Computer (oder anderen externen Geräten, die über ein Kabel verbunden sind).
  5. Es ist nicht möglich, Konfigurationsprofile zu installieren oder das Smartphone mit einem Mobile Device Management-System (MDM) zu verbinden.

Die ersten drei Maßnahmen zielen darauf ab, die häufigsten zielgerichteten Remote-Angriffsvektoren für Apple-Geräte einzuschränken: infizierte iMessages, Links zu schädlichen Websites und eingehende Videoanrufe.

Der vierte Ansatz soll verhindern, dass unbeaufsichtigte iPhones an einen Computer angeschlossen und wertvolle Informationen durch eine Schwachstelle im Kommunikationsprotokoll gestohlen werden.

Die fünfte und letzte Einschränkung verhindert, dass Smartphones im Lockdown-Modus mit einem MDM-System verbunden werden. Normalerweise verwenden Unternehmen MDM häufig aus Sicherheitsgründen, z. B. zum Löschen von Informationen auf einem verlorenen Gerät. Dieses Feature kann aber auch zum Datendiebstahl genutzt werden, da es dem MDM-Administrator weitreichende Kontrolle über das Gerät gibt.

Alles in allem klingt der Lockdown Mode nach einer guten Idee. Vielleicht ist es tatsächlich notwendig, einige Unannehmlichkeiten in Kauf zu nehmen, um im Gegenzug ein gewisses Sicherheitsniveau zu gewährleisten?

Features vs. Bugs

Bevor wir uns dieser Frage zuwenden, möchten wir zunächst beurteilen, wie radikal Apples Lösung tatsächlich ist. Wenn Sie darüber nachdenken, handelt es sich bei dem neuen Feature um das genaue Gegenteil aller etablierten Normen in der Branche. Normalerweise denken sich Entwickler ein neues Feature aus, legen ihre Idee weiter aus und unternehmen dann alle notwendigen Anstrengungen, um den Code von jeglichen Bugs zu befreien. Beim Lockdown Mode hingegen schlägt Apple vor, zugunsten eines besseren Schutzes auf eine Handvoll bestehender Features zu verzichten.

Ein einfaches (und rein theoretisches) Beispiel: Angenommen, der Hersteller einer Messenger-App fügt die Möglichkeit hinzu, animierte Emojis zu verschicken und sogar eigene Emojis zu erstellen. Es stellt sich jedoch heraus, dass es möglich ist, ein Emoji zu erstellen, das die Geräte aller Empfänger dazu bringt, am laufenden Band neu zu starten.

Um dies zu vermeiden, hätte die Funktion entfernt oder mehr Zeit in die Schwachstellenanalyse investiert werden müssen. Dem Entwickler war es jedoch wichtiger, das Produkt so schnell wie möglich zu veröffentlichen und zu monetarisieren. In diesem Kampf hinter den Kulissen zwischen Sicherheit und Bequemlichkeit hat bislang immer letztere gewonnen. Bis jetzt – denn Apples neuer Modus stellt die Sicherheit über alles andere. Dazu fällt uns nur eins ein: Bravo!

Sind iPhones ohne Lockdown Mode deshalb unsicher?

Apple-Geräte sind schon jetzt ziemlich sicher, was im Zusammenhang mit dieser Ankündigung wichtig ist. Daten von einem iPhone zu entwenden ist alles andere als einfach, und Apple legt sich wirklich unheimlich ins Zeug, damit das auch so bleibt.

Beispielsweise werden biometrische Informationen zum Entsperren des Smartphones nur auf dem Gerät selbst gespeichert und nicht an den Server gesendet. Daten im Telefonspeicher sind verschlüsselt. Die PIN zum Entsperren des iPhones kann nicht per Brute-Force geknackt werden: Nach mehreren Fehlversuchen wird das Gerät dann nämlich automatisch gesperrt. Smartphone-Apps laufen isoliert voneinander und können grundsätzlich nicht auf Daten zugreifen, die von anderen Apps gespeichert werden. Ein iPhone zu hacken gestaltet sich von Jahr zu Jahr schwieriger und für die meisten Nutzer ist diese Sicherheitsstufe bereits mehr als ausreichend.

 

Warum also eine weitere Schutzebene?

Die Frage betrifft eine relativ kleine Anzahl von Nutzern, deren Daten so wertvoll sind, dass Angreifer bereit sind, außerordentliche Anstrengungen zu unternehmen, um diese in die Hände zu bekommen. Außerordentliche Anstrengungen bedeutet in diesem Zusammenhang, viel Zeit und Geld in die Entwicklung komplexer Exploits zu investieren, die in der Lage sind, bekannte Schutzsysteme zu umgehen. Solche raffinierten Cyberangriffe stellen allerdings nur für wenige zehntausend Menschen auf der ganzen Welt eine Bedrohung dar.

Diese grobe Schätzung ist uns bereits aus dem Pegasus Project bekannt . Im Jahr 2020 wurde eine Liste mit rund 50.000 Namen und Telefonnummern von Personen geleakt, die angeblich mit einer von der NSO Group entwickelten Spyware angegriffen worden waren (oder hätten werden können). Dieses israelische Unternehmen wird seit langem für seine „legale“ Entwicklung von Hacking-Tools für Kunden kritisiert, zu denen viele Geheimdienste weltweit gehören.

Die NSO Group selbst bestritt jegliche Verbindung zwischen ihren Lösungen und der geleakten Liste. Im Nachzug tauchten jedoch Beweise auf, die darauf hindeuteten, dass Aktivisten, Journalisten und Politiker (bis hin zu Staats- und Regierungschefs) tatsächlich mithilfe der Technologien des Unternehmens angegriffen worden waren. Die Entwicklung von (legalen) Exploits, ist ein zwielichtiges Geschäft, das dazu führen kann, dass extrem gefährliche Angriffsmethoden an die Öffentlichkeit gelangen, mit denen dann weiteres Schindluder getrieben wird.

 

Wie raffiniert sind Exploits für iOS?

Die Komplexität dieser Exploits lässt sich anhand eines Zero-Click-Angriffs abschätzen, den Googles Project-Zero-Team Ende letzten Jahres untersuchte. Normalerweise muss das Opfer zumindest einen Link öffnen, um die Malware des Angreifers zu aktivieren; „Zero-Click“ bedeutet hingegen, dass keine Benutzeraktion erforderlich ist, um das Zielgerät zu kompromittieren.

In dem von Project Zero beschriebenen Fall reicht es aus, dem Opfer eine schädliche Nachricht per iMessage zukommen zu lassen; der Nachrichtendienst ist auf den meisten iPhones standardmäßig aktiviert und ersetzt gewöhnliche Textnachrichten. Mit anderen Worten, es reicht aus, wenn ein Angreifer die Telefonnummer seines Opfers kennt und diesem eine Nachricht sendet, um die Fernkontrolle über das Zielgerät zu erlangen.

Der Exploit ist sehr kompliziert. Per iMessage erhält das Opfer eine Datei mit GIF-Erweiterung, bei der es sich in Wahrheit um eine PDF-Datei handelt, die mit einem bestimmten Algorithmus komprimiert wurde, der vor allem Anfang der 2000er Jahre ziemlich beliebt war. Das Gerät des Opfers versucht, eine Vorschau dieses Dokuments anzuzeigen; bei diesem Prozess kommt im Normalfall Apples eigener Code zum Einsatz, für diese spezielle Komprimierung wird jedoch das Programm eines Drittanbieters hinzugezogen. Und in eben diesem Programm wurde eine Schwachstelle gefunden – ein nicht besonders besorgniserregender Pufferüberlauf. Um es so einfach wie möglich auszudrücken: Um diese kleine Schwachstelle herum ist ein separates und unabhängiges Rechensystem aufgebaut, das letztendlich Schadcode ausführt.

Bei diesem Angriff wird eine Reihe von nicht offensichtlichen Fehlern im System ausgenutzt, von denen jeder Fehler einzeln betrachtet völlig unbedeutend erscheint. In der Summe ist das Nettoergebnis dieser Fehler eine iPhone-Infektion durch eine einzige Nachricht.

Hierbei handelt es sich nicht um eine Methode, über die ein Junior-Cyberkrimineller versehentlich stolpern würde. Und selbst ein Team „normaler“ Malware-Autoren ist normalerweise auf der Suche nach einem viel direkteren Weg zur Monetarisierung. Die Erstellung eines solch ausgeklügelten Exploits muss viele tausend Stunden und viele Millionen US-Dollar gekostet haben.

An dieser Stelle kommt ein wichtiges Merkmal des oben erwähnten Lockdown Mode ins Spiel: Fast alle Anhänge werden blockiert. Genau das soll das Ausführen von Zero-Click-Angriffen erschweren, selbst wenn der iOS-Code den entsprechenden Bug enthält.

Die verbleibenden Funktionen des Lockdown Modus dienen dazu, andere gängige „Einstiegspunkte“ für zielgerichtete Angriffe zu schließen: Webbrowser, kabelgebundene Verbindung zu einem Computer, eingehende FaceTime-Anrufe. Für diese Angriffsvektoren gibt es bereits einige Exploits, allerdings nicht unbedingt in Apple-Produkten.

Aber wie stehen die Chancen, dass solch raffinierte Angriffe gegen Sie persönlich eingesetzt werden, wenn Sie sich nicht auf dem Radar der Geheimdienste befinden? Gen Null, es sei denn, der Angriff erwischt sie versehentlich. Daher macht das Aktivieren des Lockdown Mode für den durchschnittlichen Nutzer wenig Sinn.

Ergänzende Schutzmaßnahmen

Für diejenigen, die tatsächlich zu den potenziellen Zielobjekten von Pegasus und ähnlicher Spyware gehören, ist der neue Lockdown Mode von Apple sicherlich eine positive Entwicklung, aber keine Wunderwaffe.

Zusätzlich und ergänzend zum Lockdown-Modus haben unsere Experten einige weitere Tipps, wenn man bedenkt, dass sich hinter derartigen Angriffen wirklich festentschlossene Cyberkriminelle auf Datenjagd verbergen.

  • Starten Sie Ihr Smartphone täglich neu. Das Erstellen eines iPhone-Exploits ist bereits schwierig – Neustartresistente Exploits spielen in Bezug auf ihre Raffinesse jedoch in einer ganz anderen Liga.
  • Deaktivieren Sie iMessage vollständig. Apple wird diese Empfehlung vermutlich nicht aussprechen, aber Sie können iMessage ganz einfach selbst deaktivieren. Warum nur die Wahrscheinlichkeit eines iMessage-Angriffs verringern, wenn Sie die gesamte Bedrohung auf einen Schlag aus der Welt schaffen können?
  • Öffnen Sie keine Links. In diesem Fall spielt es keine Rolle, von wem sie stammen. Wenn punktuelle Situationen das Öffnen eines Links dennoch erfordern, sollte dies über einen separaten Computer und vorzugsweise mit dem Tor-Browser, der Ihre Daten verbirgt, geschehen.
  • Verwenden Sie nach Möglichkeit ein VPN, um Ihren Datenverkehr zu verschleiern. Auch dies macht es schwieriger, Ihren Standort zu bestimmen und Daten über Ihr Gerät für einen möglichen Angriff in der Zukunft zu sammeln.

Weitere Tipps finden Sie in Costin Raius Beitrag  „So schützen Sie sich vor Pegasus, Chrysaor und anderer mobiler APT-Malware“.

 

Tipps