von Robert Klatt •
Erst gestern haben unteranderem wir darüber berichtet, dass Apple durch die Einführung des „USB Restricted Mode“ gegen das Knacken von iPhones vorgehen will. Die neue Funktion sperrt eine Stunde nachdem ein iPhone nicht mehr genutzt wurde automatisch Datentransfers über den USB-Port, das Aufladen ist allerdings noch weiter möglich. Laut dem Magazin Motherboard, die eine E-Mail von GreyShift zitieren, soll das Unternehmen jedoch bereits schon eine Lösung gefunden haben, um mit der von ihnen entwickelten GreyKey-Hardware iPhones auch weiterhin für Ermittlungsbehörden aufzusperren.
Einer der an der Entwicklung beteiligten Forensikern schreibt in der Email, dass das Unternehmen mit enormen Aufwand dafür gesorgt hat, dass der GreyKey zukunftssicher ist und weiterhin genutzt werden kann. Dabei geht er aber nicht explizit auf die erst kürzlich verschärfte Sperrung des Lightning-Anschlusses ein. Sowohl die Beta von iOS 11.4.1 als auch das bald erscheinende iOS 12 deaktivieren die Datenübertragung über den Port automatisch, wenn das Smartphone für eine Stunde nicht genutzt wurde. In ersten Testphasen hat Apple diesen Zeitraum noch auf sieben Tage festgelegt. Ob die deutliche Verkürzung auf Firmen wie GreyShift zurückgeht ist nicht bekannt.
Derzeit benötigen alle gängigen Forensik-Werkzeuge wie die GreyKey-Hardware zum Extrahieren von Daten der iPhones eine Datenverbindung per USB. Wie GreyShift diese Blockade umgehen will hat das Unternehmen nicht erklärt. Klar ist nur, dass ohne USB-Datenverbindung die Arbeit des Tools unmöglich ist.
Derzeit verwendet GreyKey eine Bruteforce-Attacke auf den Gerätecode des Nutzers. Dabei werden bestimmte Schutzfunktionen des iPhones umgangen, die dies eigentlich verhindern sollten. iPhones müssen dazu lediglich per Lighning-Anschluss mit der Hardware verbunden werden. Bei Gerätecodes die maximal 6 Zeichen lang sind dauert die Entsperrung meistens nur wenige Stunden.
Die US-Bundespolizei FBI könnte aufgrund des USB Restricted Mode bei beschlagnahmten iPhones nun auf “Gefahr im Verzug” verweisen, um die Geräte so noch ohne richterlichen Durchsuchungsbeschluss zu knacken, bevor die automatische Sperre des USB-Ports erfolgt, wie ein Mitarbeiter des US-Justizministeriums gegenüber Eric Geller erklärte.
My story on Apple turning off data transfer through the Lightning port on devices that have been locked for an hour: https://t.co/T1QcvWleOZ
— Eric Geller (@ericgeller) June 13, 2018
DOJ official told me FBI may now be able to claim an exigent need to extract data from seized devices w/in 1st hour *without a warrant*.
Laut Apple soll der USB Restricted Mode nicht die Arbeit der Strafverfolgungsbehörden erschweren, sondern lediglich Kunden vor “Hackern, Identitätsdieben und ein Eindringen in ihre persönlichen Daten zu schützen”. Bisher ist noch nicht bekannt, ob der USB Restricted Mode in den neuen iOS-Versionen standardmäßig aktiviert ist. Nutzer können ihn jedoch komplett abschalten, da das Sicherheitsfeature auch die Nutzung externen USB-Geräte einschränkt. Jeder neue Verbindungsaufbau erfordert nämlich die Eingabe des Gerätecodes neu.