Sicherheit nur vorgetäuscht: Lockdown-Modus von iOS lässt sich von Angreifern fälschen
Manche iPhone-Besitzer sind wegen ihrer beruflichen Tätigkeit oder bestimmter Aktivitäten bevorzugte Ziele von Cyberangriffen. Zu dieser Gruppe zählen etwa Regierungsmitglieder, hochrangige Ministerialbeamte, Journalisten, Anwälte, Regimekritiker und Menschenrechtsaktivisten. Apples Smartphones verfügen seit September vergangenen Jahres über ein Sicherheitsfeature, welches unter anderem vor Spionageattacken schützen soll und vorrangig für diese Personen gedacht ist: den Blockierungsmodus. Wird dieser aktiviert, sind etliche Funktionen stark eingeschränkt, andere wie etwa SharePlay oder die FaceTime-Integration stehen überhaupt nicht zur Verfügung. Funktionsweise und Nutzung erklärt Apple im Benutzerhandbuch von iOS (siehe
).
Malware kann aktiven Blockierungsmodus vorgaukelnWichtig zu wissen: Der Blockierungsmodus ist kein Viren- oder Trojanerschutz. Er soll lediglich einige der Einfallstore schließen, über die möglicherweise Schädlinge auf das iPhone gelangen. Angreifer können allerdings die auch als Lockdown Mode bekannte Funktion fälschen und dem Smartphone-Nutzer dadurch ein tatsächlich nicht vorhandenes Sicherheitsniveau vorgaukeln. Das entdeckten jetzt Sicherheitsforscher der Jamf Threat Labs. Die Manipulation erfolgt mithilfe von optischen Anpassungen, welche die Aktivierung des Blockierungsmodus signalisieren. Voraussetzung dafür ist allerdings, dass sich bereits ein entsprechend programmierter Schädling auf dem iPhone befindet. Er verhindert das Einschalten des Features, präsentiert aber die von iOS in diesem Fall ausgegebenen Hinweise.
Sicherheitsforscher: Keine Schwachstelle in iOSIhre Entdeckung beschreiben die Sicherheitsforscher ausführlich in einem
Blogbeitrag. Darin sind auch einige Code-Beispiele enthalten. In einem kurzen Video demonstrieren sie zudem, wie sie im lediglich vorgegaukelten Blockierungsmodus eine PDF-Datei herunterladen, ohne dass Safari den vorgesehenen Warnhinweis ausgibt. Die Experten weisen ausdrücklich darauf hin, dass die Fälschung des Lockdown-Modus nicht auf einer Schwachstelle in Apples Implementierung des Sicherheitsfeatures oder einer Schwachstelle in iOS basiert. Jamf Threat Labs zufolge gibt es bislang keine Hinweise darauf, dass es schon zu derartigen Angriffen gekommen ist.