bluebit

USB Restricted Mode

GrayKey entsperrt iPhones trotz neuer Apple-Schutzfunktion weiter

von Robert Klatt •

Der USB Restricted Mode soll das Auslesen von iPhones verhindern. Laut der Forensik-Firma GreyShift soll die Sicherheitsfunktion bereits geknackt sein.


0 Kommentare

Erst gestern haben unteranderem wir darüber berichtet, dass Apple durch die Einführung des „USB Restricted Mode“ gegen das Knacken von iPhones vorgehen will. Die neue Funktion sperrt eine Stunde nachdem ein iPhone nicht mehr genutzt wurde automatisch Datentransfers über den USB-Port, das Aufladen ist allerdings noch weiter möglich. Laut dem Magazin Motherboard, die eine E-Mail von GreyShift zitieren, soll das Unternehmen jedoch bereits schon eine Lösung gefunden haben, um mit der von ihnen entwickelten GreyKey-Hardware iPhones auch weiterhin für Ermittlungsbehörden aufzusperren.

Einer der an der Entwicklung beteiligten Forensikern schreibt in der Email, dass das Unternehmen mit enormen Aufwand dafür gesorgt hat, dass der GreyKey zukunftssicher ist und weiterhin genutzt werden kann. Dabei geht er aber nicht explizit auf die erst kürzlich verschärfte Sperrung des Lightning-Anschlusses ein. Sowohl die Beta von iOS 11.4.1 als auch das bald erscheinende iOS 12 deaktivieren die Datenübertragung über den Port automatisch, wenn das Smartphone für eine Stunde nicht genutzt wurde. In ersten Testphasen hat Apple diesen Zeitraum noch auf sieben Tage festgelegt. Ob die deutliche Verkürzung auf Firmen wie GreyShift zurückgeht ist nicht bekannt.

Datenübertragung für Forensik-Werkzeuge erforderlich

Derzeit benötigen alle gängigen Forensik-Werkzeuge wie die GreyKey-Hardware zum Extrahieren von Daten der iPhones eine Datenverbindung per USB. Wie GreyShift diese Blockade umgehen will hat das Unternehmen nicht erklärt. Klar ist nur, dass ohne USB-Datenverbindung die Arbeit des Tools unmöglich ist.

Bruteforce auf Gerätecode

Derzeit verwendet GreyKey eine Bruteforce-Attacke auf den Gerätecode des Nutzers. Dabei werden bestimmte Schutzfunktionen des iPhones umgangen, die dies eigentlich verhindern sollten. iPhones müssen dazu lediglich per Lighning-Anschluss mit der Hardware verbunden werden. Bei Gerätecodes die maximal 6 Zeichen lang sind dauert die Entsperrung meistens nur wenige Stunden.

Die US-Bundespolizei FBI könnte aufgrund des USB Restricted Mode bei beschlagnahmten iPhones nun auf “Gefahr im Verzug” verweisen, um die Geräte so noch ohne richterlichen Durchsuchungsbeschluss zu knacken, bevor die automatische Sperre des USB-Ports erfolgt, wie ein Mitarbeiter des US-Justizministeriums gegenüber Eric Geller erklärte.

Sicherheitsfunktion kann deaktiviert werden

Laut Apple soll der USB Restricted Mode nicht die Arbeit der Strafverfolgungsbehörden erschweren, sondern lediglich Kunden vor “Hackern, Identitätsdieben und ein Eindringen in ihre persönlichen Daten zu schützen”. Bisher ist noch nicht bekannt, ob der USB Restricted Mode in den neuen iOS-Versionen standardmäßig aktiviert ist. Nutzer können ihn jedoch komplett abschalten, da das Sicherheitsfeature auch die Nutzung externen USB-Geräte einschränkt. Jeder neue Verbindungsaufbau erfordert nämlich die Eingabe des Gerätecodes neu.

0 Kommentare

Kommentar verfassen