Technology

Forscher entwickeln iPhone-Malware, die auch dann ausgeführt wird, wenn das Gerät ausgeschaltet ist

Classen et al.

Wenn Sie ein iPhone ausschalten, wird es nicht vollständig heruntergefahren. Chips im Inneren des Geräts laufen in einem Energiesparmodus weiter, der es ermöglicht, verlorene oder gestohlene Geräte mit der Find My-Funktion zu lokalisieren oder Kreditkarten und Autoschlüssel zu verwenden, nachdem der Akku leer ist. Jetzt haben Forscher einen Weg gefunden, diesen Always-On-Mechanismus zu missbrauchen, um Malware auszuführen, die aktiv bleibt, selbst wenn ein iPhone ausgeschaltet zu sein scheint.

Es stellt sich heraus, dass der Bluetooth-Chip des iPhones – der der Schlüssel zum Funktionieren von Funktionen wie Find My ist – keinen Mechanismus zum digitalen Signieren oder gar Verschlüsseln der Firmware hat, auf dem er läuft. Akademiker der Technischen Universität Darmstadt haben herausgefunden, wie man diesen Mangel an Härtung ausnutzen kann, um bösartige Firmware auszuführen, die es dem Angreifer ermöglicht, den Standort des Telefons zu verfolgen oder neue Funktionen auszuführen, wenn das Gerät ausgeschaltet ist.

Das Video bietet einen guten Überblick über einige der Möglichkeiten, wie ein Angriff funktionieren kann.

[Paper Teaser] Das Böse schläft nie: Wenn drahtlose Malware nach dem Ausschalten des iPhones aktiv bleibt

Die Forschung ist die erste – oder zumindest eine der ersten – die das Risiko untersucht, das von Chips ausgeht, die im Low-Power-Modus laufen. Nicht zu verwechseln mit dem Low-Power-Modus von iOS zur Verlängerung der Batterielebensdauer, ermöglicht der Low-Power-Modus (LPM) in dieser Studie Chips, die für Nahfeldkommunikation, Ultrabreitband und Bluetooth verantwortlich sind, in einem speziellen Modus zu laufen, der eingeschaltet bleiben kann für 24 Stunden, nachdem ein Gerät ausgeschaltet wurde.

„Die aktuelle LPM-Implementierung auf Apple iPhones ist undurchsichtig und fügt neue Bedrohungen hinzu“, schrieben die Forscher in a Papier letzte Woche veröffentlicht. „Da die LPM-Unterstützung auf der Hardware des iPhones basiert, kann sie nicht mit Systemupdates entfernt werden. Daher wirkt es sich nachhaltig auf das gesamte iOS-Sicherheitsmodell aus. Nach unserem besten Wissen sind wir die Ersten, die sich mit undokumentierten LPM-Funktionen befasst haben, die in iOS 15 eingeführt wurden, und verschiedene Probleme aufgedeckt haben. ”

Sie fügten hinzu: „Das Design von LPM-Funktionen scheint hauptsächlich von der Funktionalität bestimmt zu sein, ohne Bedrohungen außerhalb der beabsichtigten Anwendungen zu berücksichtigen. Find My after power off verwandelt abgeschaltete iPhones per Design in Ortungsgeräte, und die Implementierung innerhalb der Bluetooth-Firmware ist nicht gegen Manipulation gesichert.“

Die Ergebnisse haben einen begrenzten realen Wert, da für Infektionen ein iPhone mit Jailbreak erforderlich war, was an sich schon eine schwierige Aufgabe ist, insbesondere in einer gegnerischen Umgebung. Dennoch könnte sich die Ausrichtung auf die Always-On-Funktion in iOS in Post-Exploit-Szenarien durch Malware wie nützlich erweisen Pegasus, das ausgeklügelte Smartphone-Exploit-Tool der in Israel ansässigen NSO Group, das Regierungen weltweit routinemäßig einsetzen, um Gegner auszuspionieren. Es kann auch möglich sein, die Chips zu infizieren, falls Hacker Sicherheitslücken entdecken, die für Over-the-Air-Exploits ähnlich wie anfällig sind Dieses hier das funktionierte gegen Android-Geräte.

Abgesehen davon, dass Malware ausgeführt werden kann, während das iPhone ausgeschaltet ist, könnten Exploits, die auf LPM abzielen, Malware auch ermöglichen, mit viel mehr Tarnung zu arbeiten, da LPM der Firmware ermöglicht, Batteriestrom zu sparen. Und natürlich sind Firmware-Infektionen bereits extrem schwierig zu erkennen, da sie erhebliches Fachwissen und teure Geräte erfordern.

Die Forscher sagten, Apple-Ingenieure hätten ihr Papier vor der Veröffentlichung überprüft, aber Unternehmensvertreter hätten nie Feedback zum Inhalt gegeben. Vertreter von Apple haben auf eine E-Mail mit der Bitte um einen Kommentar zu dieser Geschichte nicht geantwortet.

Letztendlich tragen „Find My“ und andere durch LPM aktivierte Funktionen zu zusätzlicher Sicherheit bei, da sie es Benutzern ermöglichen, verlorene oder gestohlene Geräte zu lokalisieren und Autotüren zu verriegeln oder zu entriegeln, selbst wenn die Batterien leer sind. Aber die Forschung enthüllt ein zweischneidiges Schwert, das bisher weitgehend unbeachtet geblieben ist.

„Hardware- und Software-Angriffe, die den beschriebenen ähnlich sind, haben sich in der Praxis als praktisch erwiesen, daher sind die in diesem Dokument behandelten Themen zeitgemäß und praxisnah“, sagt John Loucaides, Senior Vice President of Strategy bei der Firmware-Sicherheitsfirma Eclypsium. „Das ist typisch für jedes Gerät. Hersteller fügen ständig Funktionen hinzu und mit jeder neuen Funktion entsteht eine neue Angriffsfläche.“

About the author

admin

Leave a Comment