Letzte Woche machten Berichte aus amerikanischen Polizeibehörden die Runde, bei denen beschlagnahmte iPhones unvermittelt einen Neustart vornahmen (MacTechNews berichtete). Wilde Spekulationen über die Ursache machten die Runde. Manche vermuteten, dass iPhones in Asservatenkammern untereinander kommunizierten; andere schlussfolgerten, die Abwesenheit gewohnter Netzanbindungen würde einen Neustart auslösen. Eine unabhängige Code-Analyse deutet nun darauf hin, dass es sich um ein Feature handelt, das in iOS 18.1 hinzugekommen ist. Offenbar starten iPhones neu, wenn der autorisierte Nutzer sein Gerät mehrere Tage nicht genutzt habhate.


In einem Mastodon-Post erläutert Sicherheitsforscherin Jiska Classen, welche entsprechenden Änderungen in Apples Mobilbetriebssystem sie aufspüren konnte. Offenbar führte das erste große Update für iOS 18 eine Funktion namens "inactivity reboot" ein. Diese sei mittels eines Daemons namens "keybagd" sowie der Kernel Extension "AppleSEPKeyStore" implementiert. Somit hinge der Geräteneustart mit dem Zeitpunkt des Entsperrens zusammen – und nicht mit dem Netzwerkstatus.

Es wird schwerer, Daten auszulesen
Für Ermittlungsbehörden bedeutet dies eine neue Hürde, die sich beim Auslesen von Daten beschlagnahmter iPhones stellt. War ein iPhone nach dem Start bereits einmal entsperrt, lassen sich Sicherheitsmaßnahmen weitaus einfacher aushebeln. Bisher genügte es, das iPhone eines Beschuldigten mit Strom zu versorgen, um den Status "After First Unlock" (AFU) aufrechtzuerhalten. Zukünftig muss ein Versuch der Datenextraktion binnen kurzer Zeit erfolgen – aktuelle Schätzungen gehen von vier Tagen aus.

Konzept existiert seit Jahren
Das Team hinter GrapheneOS, einem auf maximalen Datenschutz spezialisierten Open-Source-Mobilbetriebssystem auf Android-Basis, griff die Meldung auf und merkte in einem Mastodon-Thread an, dass es eine ähnliche Funktion bereits vor Jahren eingeführt hat. Anfangs wurden Mobiltelefone mit GrapheneOS nach 72 Stunden Inaktivität neu gestartet, aktuell laufe der Timer nach 18 Stunden ab. Mittlerweile schränke das System zudem die Nutzung von Hardware-Anschlüssen bei gesperrten Geräten stark ein und habe diese und andere Sicherheitsfunktionen an Google weitergereicht. Teile seien in Android aufgenommen worden, einen Timer bis zum automatischen Neustart gebe es in Googles Mobilbetriebssystem jedoch noch nicht.