Manipulationstechnik vorgestellt: Der Lockdown-Modus von iOS lässt sich fälschen
Im Jahr 2022 hat Apple einen Lockdown-Modus eingeführt, der für verschiedene Betriebssysteme des Herstellers verfügbar ist und einen zusätzlichen Schutz vor möglichen Cyberangriffen bieten soll. Zumindest unter iOS lässt sich dieser aber wohl präzise genug fälschen, um dem Anwender ein falsches Sicherheitsgefühl zu vermitteln.
Lockdown-Modus soll vor Cyberbedrohungen schützen
Der Lockdown-Modus, auch bekannt als Blockierungsmodus, ist eine spezielle Sicherheitsfunktion, die ab iOS/iPadOS 16, watchOS 10 sowie macOS Ventura verfügbar ist. Mit iOS/iPadOS 17, watchOS 10 und macOS Sonoma hat der Hersteller sogar noch weitere Schutzfunktionen eingeführt, behauptet Apple in seinem Support-Bereich. Ziel des Blockierungsmodus sei es, „die Angriffsfläche zu reduzieren, die hochspezielle illegale Spyware potenziell für sich nutzen könnte“. Dafür würden dem iPhone-Hersteller zufolge bestimmte Apps, Websites und Features aus Sicherheitsgründen stark eingeschränkt, einige Funktionen seien bei aktivem Lockdown-Modus möglicherweise sogar gar nicht verfügbar. Besonders relevant ist der Blockierungsmodus für Nutzer mit einem erhöhten Sicherheitsbedürfnis – dazu zählen beispielsweise Journalisten, Politiker oder andere in der Öffentlichkeit stehende Personen, die schnell zur Zielscheibe von Spionageangriffen werden.
Sicherheitsforscher von Jamf Threat Labs warnen jedoch davor, dass der Lockdown-Modus zwar dabei helfen kann, potenzielle Angriffe zu verhindern, die Ausführung einer Schadsoftware auf bereits infiltrierten Geräten lasse sich damit aber nicht unterbinden. „Er ist wirklich nur dann wirksam, wenn es darum geht, die Anzahl der Einstiegspunkte für Angreifer zu reduzieren, bevor ein Angriff stattfindet“, erklären die Forscher in ihrem Bericht.
Fake-Blockierungsmodus vermittelt falsches Sicherheitsgefühl
Basierend auf dieser Limitierung haben die Jamf-Forscher eine Manipulationstechnik entwickelt, mit der sich der Lockdown-Modus von iOS fälschen lässt. Voraussetzung dafür ist allerdings, dass das Zielgerät bereits mit einer Malware infiziert ist, durch die ein Angreifer den Quellcode für einen Fake-Blockierungsmodus einschleusen kann. Sobald dieser Code aktiv ist, kann der anvisierte iPhone-Besitzer den Lockdown-Modus zwar wie gewohnt aktivieren und erhält auch die dazu passende visuelle Rückmeldung, im System erfolgt dann aber gar keine vor möglichen Angriffen schützende Konfigurationsänderung. Anwendern wird dadurch ein falsches Sicherheitsgefühl vermittelt: Sie glauben, der Blockierungsmodus sei aktiv, tatsächlich ist das aber gar nicht der Fall.
Details zur Implementierung eines gefälschten Lockdown-Modus sind im Bericht der Jamf-Forscher zu finden. An dessen Ende hat das Forscherteam außerdem ein kurzes Video geteilt, in dem die Auswirkungen des Fake-Blockierungsmodus verdeutlicht werden. Zu sehen ist darin zuerst, wie sich mit gefälschtem Lockdown-Modus per Safari eine potenziell schädliche PDF-Datei unmittelbar und ohne Rückfrage aus dem Web öffnen lässt. Zum Vergleich demonstrieren die Forscher den gleichen Vorgang mit dem echten Lockdown-Modus, der das System vor der Anzeige des Dokuments durch eine zusätzliche Sicherheitsabfrage schützt.
Bisher noch kein Einsatz für echte Angriffe bekannt
Die Forscher behaupten, für die Implementierung weder einen Fehler im Blockierungsmodus noch eine Schwachstelle im Betriebssystem ausgenutzt zu haben. Stattdessen handle es sich lediglich um eine Manipulationstechnik, „mit der Malware dem Benutzer optisch vorgaukelt, dass sich sein Telefon im Lockdown-Modus befindet“. In freier Wildbahn sei der Einsatz dieser Technik bisher noch nicht beobachtet worden.
Das ist nicht das erste Mal, dass Sicherheitsforscher von Jamf eine derartige Manipulationstechnik vorstellen. Schon im August demonstrierten die Forscher eine solche Technik, um den Flugmodus unter iOS 16 zu fälschen. Auch in diesem Fall zeigten sie, wie dem Benutzer ein aktiver Flugmodus vorgegaukelt werden kann, während der Angreifer im Hintergrund mit einer unter seiner Kontrolle befindlichen App weiterhin gezielt eine Internetverbindung herstellen kann.