Der Sicherheitsmodus des Lightning-Anschlusses scheint in iOS 11.4 zurückzukehren

Als Apple Anfang dieses Jahres die ersten iOS 11.3-Betas herausbrachte, wurde in den Versionshinweisen eine kleinere Funktion erwähnt: ein neues Sicherheitsprotokoll, das den Lightning-Anschluss eines Benutzers sperrt, wenn er länger als eine Woche für nichts anderes als zum Laden verwendet wurde. Genauer gesagt, stellte Apple fest, dass Benutzer ihren Geräte-Passcode erneut eingeben müssen, um ein über USB angeschlossenes Zubehör zu autorisieren, wenn es länger als eine Woche nicht mit dem Gerät verbunden war. Obwohl diese Funktion, ähnlich wie AirPlay 2 und Nachrichten in der Cloud, nie in die endgültige iOS 11.3-Version aufgenommen wurde, stellt Elcomsoft fest, dass sie in den iOS 11.4-Betas zurück ist, mit einem Bericht darüber, wie sie genau funktioniert und welche Auswirkungen die neue Funktion auf die iOS-Forensik hat.

Die Funktion, die jetzt als “USB-Eingeschränkter Modus” bezeichnet wird, ist relativ unkompliziert und deaktiviert die Möglichkeit, Daten über den Lightning-Anschluss eine Woche nach der letzten Entsperrung des Geräts zu übertragen, wodurch der Lightning-Anschluss effektiv in eine Lade-Schnittstelle umgewandelt wird.

Es ist möglich, dass die Funktion noch nicht ganz fertig ist – Apples Versionshinweise deuten weiterhin darauf hin, dass die Funktion nur aktiv wird, wenn ein USB-Zubehör in den letzten sieben Tagen nicht mit einem entsperrten Gerät verbunden war – Elcomsoft berichtet jedoch, dass dies derzeit so zu funktionieren scheint, und wirft Fragen über den Unterschied zwischen der Entsperrung mit einem Passcode oder Touch ID/Face ID auf und wie vertrauenswürdige USB-Geräte und Computer berücksichtigt werden. Elcomsoft stellt fest, dass sie in ihren eigenen Tests bestätigen konnten, dass die USB-Sperre eintrat, nachdem ein Gerät sieben Tage lang vollständig inaktiv war, aber noch keine weiteren Tests durchgeführt haben, wahrscheinlich aufgrund der beteiligten Zeitrahmen.

Der Bericht fügt jedoch hinzu, dass, sobald diese Sperre eingetreten ist, anscheinend die gesamte USB-Kommunikation über den Lightning-Anschluss vollständig eingestellt wird; das iOS-Gerät kann weiterhin über den Lightning-Anschluss aufgeladen werden, aber es wird nicht versuchen, eine Datenverbindung herzustellen, selbst nicht zu zuvor vertrauenswürdigen Computern oder anderen Geräten.

Dieses neue Protokoll wirft effektiv einen Schraubenschlüssel in die Arbeiten der Strafverfolgung, die nun maximal sieben Tage Zeit haben, um aktuelle forensische Techniken zu nutzen, um Daten von einem beschlagnahmten iPhone wiederherzustellen, und könnte in der Tat erheblich weniger Zeit zur Verfügung haben, wenn die sieben Tage tatsächlich auf der letzten Verbindung eines USB-Geräts basieren – wie es in Apples Versionshinweisen angedeutet wird – anstatt einfach auf der letzten Authentifizierung des Benutzers am Gerät.

Apple hat bereits mit jeder iOS 11-Punktversion die Sicherheit verschärft, und in der Tat laufen in iOS 11.3 die Vertrauensaufzeichnungen für Computer jetzt nach nur sieben Tagen ab, was bedeutet, dass ein Benutzer, der das iPhone länger als sieben Tage nicht mit seinem Computer verbunden hat, sich erneut mit seinem Passwort authentifizieren muss, um die Vertrauensbeziehung wiederherzustellen, wodurch einer der Angriffsvektoren entfernt wird, die von forensischen Experten verwendet werden, um auf ansonsten gesperrte iPhones zuzugreifen. Der neue USB-Eingeschränkte Modus erhöht jedoch die Sicherheit erheblich, indem er alle Datenkommunikationen über den Lightning-Anschluss effektiv deaktiviert, sobald das sieben Tage-Fenster abgelaufen ist.