Der Sicherheitsmodus des Lightning-Anschlusses scheint in iOS 11.4 zurückzukehren

Als Apple Anfang dieses Jahres die ersten iOS 11.3-Betas veröffentlichte, wurde in den Versionshinweisen ein kleineres Feature erwähnt: ein neues Sicherheitsprotokoll, das den Lightning-Anschluss eines Benutzers sperrt, wenn er länger als eine Woche nicht für etwas anderes als das Laden verwendet wurde. Genauer gesagt, stellte Apple fest, dass Benutzer ihren Geräte-Passcode erneut eingeben müssen, um ein über USB verbundenes Zubehör zu autorisieren, wenn es länger als eine Woche nicht mit dem Gerät verbunden war. Obwohl dieses Feature, ähnlich wie AirPlay 2 und Nachrichten in der Cloud, nie in die endgültige iOS 11.3-Version aufgenommen wurde, stellt Elcomsoft fest, dass es in den iOS 11.4-Betas zurück ist, mit einem Bericht darüber, wie es genau funktioniert und welche Auswirkungen das neue Feature auf die iOS-Forensik hat. Das Feature, jetzt “USB-Eingeschränkter Modus” genannt, ist relativ einfach, da es die Möglichkeit, Daten über den Lightning-Anschluss zu übertragen, eine Woche nach der letzten Entsperrung des Geräts deaktiviert und den Lightning-Anschluss effektiv in eine Lade-Schnittstelle verwandelt.

Es ist möglich, dass das Feature noch nicht ganz fertig ist – Apples Versionshinweise deuten weiterhin darauf hin, dass das Feature nur aktiviert wird, wenn ein USB-Zubehör in den letzten sieben Tagen nicht mit einem entsperrten Gerät verbunden war – Elcomsoft berichtet jedoch, dass es derzeit so zu funktionieren scheint und Fragen zur Unterscheidung zwischen einer Passcode- oder Touch ID/Face ID-Entsperrung aufwirft und wie vertrauenswürdige USB-Geräte und Computer berücksichtigt werden. Elcomsoft stellt fest, dass sie in ihren eigenen Tests bestätigen konnten, dass die USB-Sperre eintrat, nachdem ein Gerät sieben Tage lang vollständig inaktiv war, aber noch keine weiteren Tests durchgeführt haben, wahrscheinlich aufgrund der beteiligten Zeitrahmen.

Der Bericht fügt jedoch hinzu, dass, sobald diese Sperre eingetreten ist, anscheinend die gesamte USB-Kommunikation über den Lightning-Anschluss vollständig eingestellt wird; das iOS-Gerät kann weiterhin über den Lightning-Anschluss aufgeladen werden, wird jedoch keine Datenverbindung herstellen, selbst nicht zu zuvor vertrauenswürdigen Computern oder anderen Geräten.

Dieses neue Protokoll stellt effektiv ein Hindernis für die Strafverfolgung dar, die nun maximal sieben Tage Zeit hat, um aktuelle forensische Techniken zu nutzen, um Daten von einem beschlagnahmten iPhone wiederherzustellen, und könnte in der Tat erheblich weniger Zeit zur Verfügung haben, wenn die sieben Tage tatsächlich auf der letzten Verbindung eines USB-Geräts basieren – wie es in Apples Versionshinweisen angedeutet wird – anstatt einfach auf der letzten Authentifizierung des Benutzers am Gerät.

Apple hat bereits mit jedem iOS 11-Punkt-Release die Sicherheit verschärft, und in iOS 11.3 laufen die Aufzeichnungen über vertrauenswürdige Computer-Paarungen jetzt nach nur sieben Tagen ab, was bedeutet, dass ein Benutzer, der das iPhone länger als sieben Tage nicht mit seinem Computer verbunden hat, sich erneut mit seinem Passwort authentifizieren muss, um die Vertrauensbeziehung wiederherzustellen, wodurch einer der Angriffsvektoren entfernt wird, die von forensischen Experten verwendet werden, um auf ansonsten gesperrte iPhones zuzugreifen. Der neue USB-Eingeschränkte Modus erhöht jedoch die Sicherheit erheblich, indem er alle Datenkommunikationen über den Lightning-Anschluss deaktiviert, sobald das sieben Tage-Fenster abgelaufen ist.