Im September 2019 ging eine Meldung durch die Presse, welche Apple gar nicht gefallen hat: Alle iPhones mit Apple A5- bis Apple A11-Prozessor sind angreifbar. Die Schwachstelle wird unter dem Namen "checkm8" ("Schachmatt") gehandelt und ist dahingehend einmalig, dass Apple gegen den Angriff nichts unternehmen kann. Der Grund dahinter ist, dass sich die Hacker eine Lücke im DFU-Modus zunutze machen – der Programmcode für diesen Modus liegt in einem nicht beschreibbaren Read-Only-Memory, genannt SecureROM/bootrom. Hier ist Code hinterlegt, welchen das Gerät als allererstes im Startprozess ausführt. Konkret nutzen die Hacker ein Fehler im USB-Code aus, welcher durch einen Trick das Ausführen von unsigniertem Code auf Ebene des Bootrom erlaubt.


iOS-Schwachstelle nicht zu beheben
Da es sich hierbei um nicht-beschreibbaren Speicher handelt, kann Apple Fehler in diesem Code auch nicht durch ein Software-Update beheben – daher bleiben alle Geräte vom iPhone 5s bis zum iPhone X angreifbar. Neuere Modelle sind von der Schwachstelle nicht betroffen. Die Lücke ermöglicht es, unsignierten Code, welcher nicht von Apple stammt, auszuführen. Auch "Jailbreaks" lassen sich über diese Schwachstelle umsetzen, welche nicht von Apple zu verhindern sind.

Für Sicherheitsforscher aber auch für Hacker hat diese Lücke weitreichende Konsequenzen: Nun ist es auf einfache Art und Weise möglich, an unverschlüsselte Firmware-Images von iPhones zu gelangen. Vormals war dies nur schwer möglich, da die Schlüssel zum Dekodieren von iOS-Updates erraten werden mussten – ein zeitaufwändiger Prozess. Manche dieser Schlüssel ließen sich von iPhone-Vorserien- und Testmodellen extrahieren, welche über eine spezielle iOS-Version verfügten, bei der nicht alle Schutzmaßnahmen aktiv waren.

Mittels der Schwachstelle lässt sich auf das gesamte Dateisystem eines iPhones zugreifen – Schlüssel, welche in der Secure Enclave des Apple-A-Chips gespeichert sind, können aber nicht ausgelesen werden. Hier speichert Apple zum Beispiel Daten bezüglich der Fingerabdrücke, der Gesichtserkennung und Keys für das Entschlüsseln von Dateien.

T2-Chip in Macs mit A-Prozessoren verwandt
Seit dem iMac Pro setzt Apple einen Zusatz-Chip in Macs ein: Den Apple T2-Chip. Jeder aktuelle Mac (bis auf den 2019er iMac) bringt einen T2-Prozessor mit, welcher im System weitreichende Aufgaben übernimmt: Die Verschlüsselung der internen SSD wird über den Koprozessor abgewickelt, aber auch die Steuerung der Face-Time-Kamera und der Touch Bar übernimmt der T2. Der T2-Prozessor ist technisch mit dem Apple A10 verwandt.

DFU-Modus auf dem Mac aktivieren
Ähnlich iPhones und iPads verfügen auch Macs mit T2-Prozessor über einen DFU-Modus. Dieser lässt sich wie folgt aktivieren:

Desktop-Macs

• Mac komplett ausschalten und Stromkabel ziehen
• Thunderbolt-Kabel anschließen: Beim iMac Pro an dem Port neben dem Ethernet-Anschluss, beim 2018er Mac mini den Port neben dem HDMI-Anschluss
• Andere Seite des Thunderbolt-Kabels an einen anderen Mac anschließen
• Power-Knopf für drei Sekunden halten und zeitgleich das Stromkabel wieder einstecken

MacBooks

• MacBook komplett ausschalten und vom Stromkabel trennen
• Thunderbolt-Kabel auf der linken Seite des MacBooks einstecken
• Andere Seite des Thunderbolt-Kabels an einen anderen Mac anschließen
• Die Einschalttaste, rechte Shift-Taste, linke Control- und Alt-Taste für 3 Sekunden halten

Daraufhin befindet sich der Mac im DFU-Modus und kann ähnlich iOS-Geräten mit neuer Software bestückt werden. Hierzu kann das Apple-eigene Programm "Apple Configurator 2" verwendet werden.


Macs nun auch angreifbar
Schon kurz nach Erscheinen der Schwachstelle "checkm8" wurde vermutet, dass auch andere iDevices nicht vor der Schwachstelle geschützt sind. So lässt sich beispielsweise derzeit auch ein Apple TV der 4. und 5. Generation hacken – aber auch ältere Modelle der Apple Watch sind nicht vor diesen Angriffen sicher.

Da der Apple T2-Chip in modernen Macs mit dem Apple A10-Prozessor technisch verwandt ist, setzt dieser auch auf das selbe SecureROM – und ist somit genau wie die älteren A-Prozessoren angreifbar. Apple setzt beim T2-Chip, welcher die interne Bezeichnung T8012 trägt, auf die Bootrom-Version "3401.0.0.1.16" – diese Version bringt die Schwachstelle im USB-Code noch mit.

Hacker "qwertyoruiopz" hat nun auf Twitter bekanntgegeben, dass die checkm8-Schwachstelle nun erfolgreich ausgenutzt wurde, um den T2-Prozessor zu hacken:


Damit ist es möglich, die Software, welche der T2-Prozessor ausführt, zu patchen oder eine ganz andere zu starten. Zwar ist auch wie bei anderen A-Chips die Secure Enclave sicher – doch zukünftige Jailbreaks sind so auf T2-Macs nicht zu verhindern. Sollte sich Apple dazu entschließen, macOS so abzuriegeln, dass nur noch von Apple freigegebene Software gestartet werden darf, kann dieser Schutz zukünftig ausgehebelt werden.

Unklar ist derzeit, ob sich auch die iCloud-Aktivierungssperre auf diese Art und Weise umgehen lässt – ein Firmware-Passwort sollte sich aber durch den Hack rückgängig machen lassen und bietet somit zukünftig kaum noch Schutz. Auch beim Mac wird sich der Fehler nicht durch ein Software-Update beheben lassen – das SecureRom ist auch im T2-Chip nicht beschreibbar.

Möglichkeiten für Bastler
Abseits von Hacks bieten sich aber auch neue Möglichkeiten für Hobby-Bastler: Da es zukünftig möglich sein wird, völlig anderen Code auf dem T2-Prozessor auszuführen, ist es denkbar, dass Nutzer ein zweites Betriebssystem auf dem Koprozessor ausführen – mit der Touch Bar als Hauptbildschirm.

Implikationen des Hacks
Hat ein Hacker physikalischen Zugriff auf den Mac, ermöglicht das Aushebeln des T2-Chips viele Möglichkeiten, an die Daten auf dem Gerät zu gelangen – zum Beispiel ist das Booten von einem externen Volume möglich oder das Aushebeln des Firmware-Passwortes. Nicht möglich ist es nach derzeitigem Kenntnisstand, dass Malware oder Viren sich auf dem T2 einnisten oder das gar durch den Aufruf einer Webseite oder das Ausführen eines heruntergeladenem Programms das System angreifbar wird.