Trügerische Sicherheit: Angreifer können Lockdown-Modus von iOS fälschen
Sicherheitsforscher von Jamf Threat Labs haben eine Manipulationstechnik offengelegt, mit der sich der Lockdown-Modus von iOS fälschen lässt, um Anwendern ein falsches Sicherheitsgefühl zu vermitteln. Sofern ein Zielgerät bereits mit einer Malware infiziert ist, kann diese dem Nutzer durch visuelle Anpassungen vorgaukeln, der Lockdown-Modus sei aktiv, obwohl das gar nicht der Fall ist.
Bei dem Lockdown-Modus, auch als Blockierungsmodus bezeichnet, handelt es sich um eine spezielle Sicherheitsfunktion, die im September 2022 eingeführt wurde und Apple-Geräte vor möglichen Cyberangriffen schützen soll. Tatsächlich konnte damit wohl schon der ein oder andere Angriff vereitelt werden .
"Um die Angriffsfläche zu reduzieren, die hochspezielle illegale Spyware potenziell für sich nutzen könnte, werden bestimmte Apps, Websites und Features aus Sicherheitsgründen stark eingeschränkt, und einige Funktionen sind möglicherweise gar nicht verfügbar" , erklärt Apple diesbezüglich in seinem Support-Bereich(öffnet im neuen Fenster) .
Lockdown-Modus schützt nicht vor installierter Malware
Die Jamf-Forscher warnen davor, dass der Lockdown-Modus die Angriffsfläche zwar verringert, die Ausführung einer Malware auf einem bereits kompromittierten Gerät aber nicht verhindern kann. Die Funktion sei nur dann wirksam, wenn es darum gehe, die Anzahl der für einen Angreifer verfügbaren Einstiegspunkte zu reduzieren, bevor ein Angriff stattfinde.
Befindet sich bereits eine Malware auf einem iPhone, so kann diese einen Code einschleusen, durch den ein gefälschter Blockierungsmodus bereitgestellt wird. Aktiviert der Nutzer den Lockdown-Modus auf einem solchen Gerät, so sieht er zwar die üblichen visuellen Hinweise darauf, dass die Funktion aktiv ist, tatsächlich findet aber gar keine vor Angriffen schützende Konfigurationsänderung statt.
Keine iOS-Schwachstelle
Technische Details zur Umsetzung eines solchen Fake-Lockdown-Modus haben die Sicherheitsforscher in ihrem Bericht(öffnet im neuen Fenster) geteilt. Dort demonstrieren sie auch in einem kurzen Videoclip die Auswirkungen: Während der echte Blockierungsmodus den Nutzer im Safari-Browser durch eine zusätzliche Sicherheitsabfrage vor dem Download einer potenziell gefährlichen PDF-Datei schützt, wird die gleiche Datei beim gefälschten Lockdown-Modus unmittelbar und ohne Rückfrage heruntergeladen.
Die Forscher betonen, dass sie keine iOS-Schwachstelle ausgenutzt hätten. Es handle sich lediglich um eine Manipulationstechnik für bereits infiltrierte Geräte. Bisher seien aber auch noch keine Fälle bekannt, in denen die Technik für echte Angriffe ausgenutzt wurde. Eine vergleichbare Manipulationstechnik stellten die Jamf-Forscher schon im August vor - damals noch für den Flugmodus von iOS .