Am 27. September 2019 veröffentlichte der Twitter-User Axi0mX einen Exploit namens Checkm8 (steht für "Checkmate", Schachmatt). Nach eigenen Angaben nutzt dieser Exploit einen Fehler in der Apples Boot-ROM-Software aus, um die abgesicherte Boot-Kette zu durchbrechen. Laut Axi0mX verwendet Checkm8 dazu eine so genannte Race Condition.
Foto: Elizaveta Galitckaia - shutterstock.com
Ein Boot-ROM ist ein Nur-Lese-Speicherchip, der den allerersten Code enthält, der nach dem Einschalten des Gerätes beim Systemstart geladen wird. Da der Boot-ROM-Code der Kern des Startvorgangs eines Geräts ist und in Hardware "gegossen" ausgeliefert wird, sind keine Änderungen (wie etwa Bug Fixes) durch den Hersteller mehr möglich. Einen Fehler in diesem Code aufzuspüren, kommt in Hacker-Kreisen quasi der Suche nach dem heiligen Gral gleich.
Wer ist betroffen?
Betroffen von dieser Sicherheitslücke sind alle zwischen 2011 und 2017 hergestellten System-on-a-Chip (SoC)-Prozessoren von Apple. Angefangen beim A5-Chip, der erstmals im iPhone 4S verbaut wurde, bis hin zum A11-Chip, der im iPhone 8 beziehungsweise iPhone X seine Dienste tut. Dabei ist es egal, ob es sich um ein iPhone, iPad oder gar Apple TV handelt.
Physischer Zugriff erforderlich
Obwohl Checkm8 auch auf einem gesperrten Gerät funktioniert, ist es kein Remote-Exploit. Die Sicherheitslücke kann aktuell nur ausgenutzt werden, wenn das Gerät beim Booten mit einem Computer manipuliert wird. Ein möglicher Angreifer braucht demnach physischen Zugriff auf das jeweilige Gerät. Er muss den Device Firmware Upgrade (DFU)-Modus aktivieren, sowie das iPhone per Kabel mit einem Computer verbinden. Danach wird es für den Hacker einfacher: Auf GitHub wurden bereits erste Exploits veröffentlicht, um die Basis für eine mögliche Schadsoftware wie beispielsweise Keylogger zu legen, die die Eingaben des Nutzers dokumentieren, um so etwa Zugangsdaten zu stehlen.
Die Sicherheitslücke ermöglicht es auch, Debugging-Funktionen wie JTAG auf der iPhone-CPU zu nutzen. Ein so aktiviertes Gerät kann zum Beispiel mithilfe des so genannten Bonobo-Kabels über den Lightning-Port mit einem Computer analysiert werden. Dies ermöglicht einem Sicherheitsforscher etwa das CPU-Debugging über JTAG/SWD mit dem OpenOCD-Tool und dem AArch64 GDB-Debugger. Diese Art von Zugriff erlaubt es zum Beispiel, auf die CPU und Register zuzugreifen, Hardware-Haltepunkte zu setzen, Speicher auszulagern und ähnliches.
Foto: Lambda Concept
Dies ist ein großer Gewinn für Sicherheitsforscher - und natürlich auch für Jailbreaker. Apple bezeichnete entsprechend behandelte iOS-Devices in seiner BlackHat-Präsentation 2016 als herabgestuft ("demoted"). Diese Sicherheitslücke ist aber kein Jailbreak, der die Möglichkeit bietet, beliebige Software zu installieren, Root-Berechtigungen zu erhalten und die Sandbox zu verlassen. Wahrscheinlich wird die Community jedoch bald einen vollständigen Jailbreak veröffentlichen.
Wer könnte Interesse haben?
Für Sicherheitsforscher ist Checkm8 ein großer Segen. Der Exploit versetzt sie in die Lage, die Sicherheitsbeschränkungen jeder iOS-Version, die auf einem iPhone X oder älter ausgeführt wird, aufzuheben und das Betriebssystem zu analysieren. Da solche Untersuchungen auf einem nicht manipulierten Gerät unmöglich sind, könnte Checkm8 zu einem der wichtigsten Werkzeuge der Forscher werden. Da sie auf diese Weise Probleme lokalisieren und an Apple melden können, profitieren davon auch indirekt die Anwender. Auch für Strafverfolger sowie Unternehmen, die ihnen helfen, iPhones zu entsperren, sind die Möglichkeiten von Checkm8 enorm wichtig, wenngleich die Möglichkeit des Missbrauchs besteht.
Bewertung für Unternehmen
Viele Firmen stellen sich seit dem Bekanntwerden von Checkm8 die Frage, was diese Lücke für die Millionen von betroffenen iOS-Geräten bedeutet, die sowohl in privaten als auch in Unternehmensumgebungen eingesetzt werden. Das Wichtigste zuerst: Für fast alle realistischen Einsatzszenarien von iOS-Geräten ändert sich beim IT-Risikomanagement auch mit Checkm8 nichts. Der Boot-ROM-Exploit ist zwar als kritisch einzustufen, es gibt aber nur wenige eingeschränkte Möglichkeiten, um ihn als Angreifer verwenden zu können:
Es gibt keine Möglichkeit zur Remote-Ausführung: Ein Angreifer kann Checkm8 nur ausnutzen, wenn sich das Zielgerät physisch in seinem Besitz befindet.
Checkm8 ermöglicht es nicht, die Secure Enclave zu gefährden: Dank des Sicherheits-Chips "Secure Enclave" bleiben alle persönlichen und dienstlichen Daten, die durch PIN, Passwort oder Face-ID geschützt sind, sicher - allerdings nur auf neueren Geräten ab iPhone 6. Ältere Geräte besitzen das Bauteil nicht. Angreifer können jedoch versuchen, mit einen zusätzlichen Brute-Force-Angriff die Schranke zu knacken. Nutzt man nicht gerade eine 4-stellige PIN sollte sich der Erfolg für den Hacker jedoch erst sehr spät einstellen.
Die Sicherheitslücke bietet keinen Persistenz-Mechanismus: Selbst, wenn ein Angreifer in den Besitz eines Geräts gelangt und den Boot-ROM-Exploit Checkm8 verwendet, wird dieses durch einen Neustart wieder in einen fehlerfreien Zustand versetzt. Alle vom Angreifer vorgenommenen Änderungen gehen verloren, da die Sicherheitsüberprüfungen von Apple die vom Angreifer geänderten Dateien entweder löschen oder deren Ausführung (nach einem Neustart) ablehnen.
Was können Anwender tun?
Trotz der obigen Risikobewertung bedeutet Checkm8, dass die Möglichkeit einer Hack- oder Malware-Infektion in Betracht gezogen werden sollte, wenn das Gerät außerhalb der physischen Kontrolle des Besitzers war. Dies ist theoretisch bereits der Fall, wenn ein Anwender sein iPhone unbeaufsichtigt und eingeschaltet im Hotelzimmer oder auf einem Schreibtisch in gemeinsam genutzten Büroräumen liegen gelassen hat. Auch die vorübergehende Beschlagnahmung durch Grenzschutzbeamten ist ein Risiko. Die klassischen Regeln im sicheren Umgang mit (mobilen) Endgeräten reichen hier aber für einen wirkungsvollen Schutz aus:
Lassen Sie Ihr Gerät nach Möglichkeit nicht unbeaufsichtigt, vergeben Sie einen sechsstelligen PIN-Code und deaktivieren Sie im Betriebssystem die Möglichkeit, dass USB-Geräte eine Datenverbindung zum iOS-Gerät herstellen dürfen. Nach aktueller Kenntnis blockiert diese (Standard-)Einstellung auch hier die Möglichkeit, Zugriff zu erlangen. Diese iOS-Einstellungen lassen sich auch per Mobile-Device-Management (MDM)-System durch die IT-Abteilung vergeben.
Es gibt ein weiteres Hausmittel, das gegen einen möglichen Exploit-basierten Jailbreak helfen kann: Das iOS-Gerät im Verdachtsfall neu starten. Da die Sicherheitslücke nicht persistent ist, sondern nach einem Neustart per Kabel initialisiert werden muss, können manipulierte Schadprogramme nicht mehr ablaufen. Selbst wenn ein Schadcode im Speicher des iPhones verbleiben könnte, ließe sich dieser nach einem Neustart nicht mehr ausführen.
Das Problem kann aber auch durch den Kauf eines neuen, aktualisierten Gerätes behoben werden. Apples A12 und neuere Chips, die in neueren Geräten (iPhone Xs, iPhone XR, iPhone 11-Serie, iPad Pro der 3. Generation) verwendet werden, sind nicht anfällig.
Fazit
Für Endanwender, die sich täglich Gedanken über die praktische Sicherheit ihrer Geräte machen, gibt es keinen Grund zur Sorge. Für Sicherheitsforscher und damit auch für Apple bietet diese Lücke sogar etwas Gutes. Mithilfe von Jailbreaking-Geräten und Reverse-Engineering-Ansätzen können Sicherheitsforscher nun einen Blick hinter die Kulissen werfen und beispielsweise Fehlverhalten durch so genannte "seriöse" Apps aufdecken.
Es wird spannend sein, die Entwicklungen im Umfeld des Checkm8-Exploits weiter zu beobachten, da die betroffenen Prozessoren auch in Geräten verbaut wurden, die 2019 erschienen sind. So Ist der ebenfalls betroffene A10-Chip zum Beispiel im iPad der neu vorgestellten siebten Generation verbaut.