iPhone-Angriff: Hacker könnten Reboot verunmöglichen
Malware wie die iOS-Version der Spyware Pegasus gehen nach einem Neustart verloren. Dieser lässt sich allerdings unterbinden, wie eine Sicherheitsfirma zeigt.
Einmal auf, immer auf?
(Bild: Alberto Garcia Guillen/Shutterstock.com)
Malware, mit der iPhones übernommen werden kann, wird zunehmend zum Problem – das hat etwa die Affäre rund um das Spionageprogramm Pegasus im vergangenen Jahr gezeigt. Eine der wenigen "guten" Nachrichten im Zusammenhang mit diesen Berichten war, dass die auf ungepatchten Zero-Day-Lücken basierenden Schädlinge oft nicht persistent sind, sich also mit einem Neustart des iOS-Geräts deaktivieren lassen.
Wie das Sicherheitsunternehmen Zecops nun aber in einem neuen Paper samt Beispielimplementierung ausführt, muss dies Angreifer gegebenenfalls nicht stören. Sie könnten mit einigen Tricks dafür sorgen, dass Nutzer Reboots ihres iPhones gar nicht durchführen können – oder vermeintlich glauben, dass es einen Neustart gab, dieser jedoch verhindert wurde.
iPhone aus? Unklar.
Dazu werden mehrere Möglichkeiten aufgezeigt, die Zecops "NoReboot" getauft hat. Dabei simuliert das System einen Neustart nur, bleibt aber tatsächlich aktiv. iPhones fehlen – wie den meisten modernen Handys – echte physische Ausschalter ebenso wie eine entnehmbare Batterie. Da ein von Pegasus & Co. übernommenes Gerät unter vollständiger Kontrolle der Angreifer steht, lässt sich ein Neustartversuch vergleichsweise einfach über die zuständigen Routinen InCallService, SpringBoard und Backboardd hijacken. Danach wird das übliche Herunterfahren simuliert – inklusive sich drehendem Rädchen und dem Abfangen sämtlicher Inputs, damit das Gerät sich zunächst nicht mehr meldet. Selbst ein "Wiedereinschalten" sei simulierbar – inklusive Bootlogo.
Als Kür zeigt Zecops zudem, wie sich der eigentlich in Hardware implementierte erzwungene Neustart abfangen lässt. Dann würde das zu erwartende Apple-Logo etwas früher eingeblendet, damit der Nutzer die entsprechende Tastenkombination loslässt, um einen echten erzwungenen Neustart eben nicht auszulösen. Das Gerät samt Malware bleiben aktiv.
Manchmal helfen nicht mal Reboots
Das Fazit der Sicherheitsforscher: Niemand sollte einem iOS- oder iPad-Gerät trauen, dass es abgeschaltet ist. Tatsächlich hatte Apple mit iOS 15 eine Low-Level-Funktion implementiert, mit der sich Geräte im Gestohlen-Modus auch ausgeschaltet weiter tracken lassen – dies soll aber nicht missbrauchbar sein.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Bei Pegasus waren indes Reboots sowieso nicht weiter hilfreich, weil betroffene iPhones dann einfach noch einmal angegriffen wurden, wovon der Nutzer nichts merkte, weil der Hack komplett interaktionslos ablief. So sollen etwa Geräte polnischer Oppositionspolitiker Dutzende Male übernommen worden sein, ohne dass diese davon etwas mitbekamen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
