iPhone: Hacker suchen mit Prototypen nach Schwachstellen

Sicherheitsforscher und iOS-Jailbreaker nutzen sogenannte Dev-Fused-iPhones, um Schwachstellen zu suchen. Diese nur für die interne Nutzung durch Apple-Entwickler gedachten Prototypen kommen aus einem noch nicht abgeschlossenen Produktionsprozess und sind nicht gegen Zugriffe abgeschottet wie die für den Verkauf vorgesehenen Geräte. Erhältlich sind sie dennoch auf einem grauen Markt und werden sogar über Twitter-Konten angeboten – kosten aber bis zu fünfstellige Beträge.

Das berichtet nach monatelangen Recherchen Motherboard. Ausgangspunkt waren Andeutungen von Sicherheitsforscher Matthew Solnik, der auf der Sicherheitskonferenz Black Hat im August 2016 über eine erstmals gelungene Analyse von Apples Sicherheitschip Secure Enclave Processor (SEP) sprach, der im iPhone für die Datenverschlüsselung zuständig ist. Laut mehreren Informanten gelang das mit einem Dev-Fused-iPhone, mit dem die SEP-Software extrahiert und untersucht wurde.

Solnik und sein Team waren damals für das australische Unternehmen Azimuth tätig, das Hackingtools an Sicherheitsbehörden in Ländern wie USA, Kanada und Großbritannien verkaufte. Ebenfalls mit solchen Entwickler-Prototypen soll der israelische Forensikspezialist Cellebrite arbeiten, der als Dienstleister iPhone-Entsperrungen für Ermittlungsbehörden weltweit bereitstellt.

Eines dieser Entwicklergeräte bekam Informanten zufolge auch Corellium-Mitgründer Chris Wade in die Hände. Corellium ist ein Start-up, das die Schaffung virtueller Instanzen fast aller iOS-Geräte erlaubt. Wade bestreitet allerdings den Einsatz von Apples Dev-Phones in seinem Unternehmen: „Wir kaufen kein gestohlenes Apple-Zeugs!“ Er sprach damit die dubiose Herkunft der Geräte an, die offenbar schon bei der Produktion in China abgezweigt werden.

Andere aus der iOS-Jailbreaking-Szene distanzieren sich von dieser Prototypen-Nutzung, weil sie es fast schon ehrenrührig finden und als „Mogeln“ empfinden. „Es ist so etwas wie das goldene Ei für einen Jailbreaker“, ließ sich wiederum ein anonymer Informant zitieren, der sich zu ihrem Einsatz bekannte. Mit einem Dev-Fused-iPhone erhalte man ein Gerät, bei dem sich die Sicherheitsvorkehrungen Apples relativ einfach beiseite schieben lassen.

Bei den Dev-Fused-Geräten wird anders als bei den Prod-Fused-iPhones für den Verkauf ein spezieller Pin nicht auf dem Logicboard aufgebracht, der das System effektiv versiegelt, erfuhr Motherboard von einem früheren Apple-Mitarbeiter. Die Platine überprüfe, ob ein solcher Pin vorhanden ist. Sei das nicht der Fall und außerdem die Firmware in der Entwicklerversion vorhanden, sollen bestimmte Features aktiviert sein. Für den Zugriff sind außerdem noch ein proprietäres Kabel des iPhone-Herstellers und interne Apple-Tools erforderlich, die aber in der iOS-Hackerszene verbreitet sind.

Beim Booten eines solchen Entwickler-Prototyps ist kurz ein Befehlszeilen-Terminal zu sehen. Geladen wird dann das als „Switchboard“ bekannte Betriebssystem mit einem schlichten schwarzen Hintergrund, das für das Testen verschiedener Funktionen auf dem Smartphone gedacht ist. Den Homescreen schmücken Symbole für Apps mit Bezeichnungen wie MMI, Reliability, Sequencer sowie Console – einer App für die Öffnung eines Terminals. Die Anwendungen sind für die Nutzung über das Terminal gedacht, während das Gerät mit einem Mac-Rechner verbunden ist. Hackern eröffnet sich damit Root-Zugang auf dem iPhone – und sie können tief in seine Software und Firmware eindringen, um nach bislang nicht bekannten Sicherheitslücken zu suchen.