Forscher von Jamf haben eine Manipulation entdeckt, die Apples iOS-Sicherheitsmechanismus Lockdown aushebelt. | Researchers at Jamf have discovered a manipulation that bypasses Apple’s iOS security mechanism Lockdown. |
|---|---|
| Hu Ke und Nir Avraham von Jamf Threat Labs haben eine nachträgliche Manipulationstechnik identifiziert, die alle visuellen Hinweise auf einen funktionierenden Lockdown-Modus liefert, ohne die normalerweise vom Dienst implementierten Schutzmaßnahmen. Es handelt sich hierbei nicht um einen Fehler im Lockdown-Modus oder eine Schwachstelle im iOS, sondern um eine nachträgliche Manipulationstechnik, die es Malware ermöglicht, dem Benutzer visuell vorzutäuschen, dass sich das Telefon im Lockdown-Modus befindet. Diese Technik wurde bisher noch nicht in freier Wildbahn beobachtet und ist nur auf einem kompromittierten Gerät möglich. Das Ziel dieser Forschungsarbeit ist es, darauf hinzuweisen, dass Benutzer immer noch anfällig für Angriffe sein können, wenn sie sich der Funktionsweise und der Grenzen des Lockdown-Modus nicht vollständig bewusst sind. Obwohl der Lockdown-Modus die Angriffsfläche auf einem iOS-Gerät effektiv reduziert, ist es wichtig, sich daran zu erinnern, dass der Lockdown-Modus die Ausführung von Malware nicht verhindert, wenn ein Gerät bereits kompromittiert ist. Der Lockdown-Modus funktioniert nicht wie eine Antiviren-Software, er erkennt keine bestehenden Infektionen und hat keinen Einfluss auf die Möglichkeit, ein bereits kompromittiertes Gerät auszuspionieren. Er ist nur dann wirklich effektiv, wenn es darum geht, die Anzahl der einem Angreifer zur Verfügung stehenden Einstiegspunkte zu reduzieren, bevor es zu einem Angriff kommt. In dieser Forschungsarbeit wird ein Szenario untersucht, in dem ein anfälliges Gerät von einem Angreifer kompromittiert wird, der den Code zur Implementierung des gefälschten Sperrmodus einschleust. Wenn ein gefährdeter Benutzer (z. B. Journalist, Regierungsbeamter, Manager) des kompromittierten Geräts den Sperrmodus auslöst, löst er den Code des Angreifers aus, der die visuellen Hinweise des Sperrmodus implementiert, aber keine Änderungen an der Konfiguration des Geräts vornimmt. Ist Ihr Lockdown-Modus manipuliert worden? Apples Lockdown-Modus in iOS 16 ist eine nützliche Funktion für bestimmte Situationen, aber wenn Ihr Telefon bereits kompromittiert wurde, schützt Sie der Lockdown-Modus nicht mehr. Dieser Blog-Beitrag befasst sich mit unseren Untersuchungen zum gefälschten Lockdown-Modus, die zeigen, dass ein Hacker, der bereits in Ihr Gerät eingedrungen ist, den Lockdown-Modus „umgehen“ kann, wenn Sie ihn aktivieren. Die Einführung des Lockdown-Modus Apple führte den Lockdown-Modus im September 2022 als Reaktion auf den Anstieg der weltweiten Cyberangriffe ein. Wie unten dargestellt, wurden laut der Threat Analysis Group (TAG) von Google in den Jahren 2021 und 2022 die meisten Zero-Day-Angriffe in freier Wildbahn entdeckt, seit die TAG Mitte 2014 mit der Aufzeichnung solcher Vorfälle begann. Eine der berüchtigtsten Spyware-Marken, Pegasus, kann das neueste iPhone infizieren, ohne dass eine Benutzerinteraktion erforderlich ist, was als Zero-Click-Angriff bekannt ist. Trotz der laufenden Bemühungen von Apple, seine Sicherheitsarchitektur in den letzten Jahren zu verbessern, haben die Betreiber von Pegasus eine bemerkenswerte Fähigkeit bewiesen, neue Schwachstellen zu entdecken und Zero-Click-Angriffe auszuführen. Diese Situation hat bei den Nutzern Besorgnis ausgelöst und zur Entwicklung des Lockdown-Modus geführt, um diesem wachsenden Trend entgegenzuwirken und den iPhone-Nutzern Sicherheit zu geben. Die Einführung des Lockdown-Modus Apple führte den Lockdown-Modus im September 2022 als Reaktion auf die weltweit zunehmende Zahl von Cyberangriffen ein. Wie unten dargestellt, wurden laut der Threat Analysis Group (TAG) von Google in den Jahren 2021 und 2022 die meisten Zero-Day-Angriffe in freier Wildbahn entdeckt, seit die TAG Mitte 2014 mit der Aufzeichnung solcher Vorfälle begonnen hat. Eine der berüchtigtsten Spyware-Marken, Pegasus, kann das neueste iPhone infizieren, ohne dass der Nutzer eingreifen muss, was als Zero-Click-Angriff bekannt ist. Trotz der kontinuierlichen Bemühungen von Apple, seine Sicherheitsarchitektur in den letzten Jahren zu verbessern, haben die Betreiber von Pegasus eine bemerkenswerte Fähigkeit bewiesen, neue Schwachstellen zu entdecken und Zero-Klick-Angriffe durchzuführen. Diese Situation hat bei den Nutzern Besorgnis hervorgerufen und zur Entwicklung des Lockdown-Modus geführt, um diesem wachsenden Trend entgegenzuwirken und die Sicherheit der iPhone-Nutzer zu gewährleisten. | Hu Ke and Nir Avraham of Jamf Threat Labs have identified a post-exploitation tampering technique that provides all of the visual cues associated with a functioning Lockdown Mode, without any of the protections that would normally be implemented by the service. Note that this is not a flaw in Lockdown Mode or an iOS vulnerability, per se; it is a post-exploitation tampering technique that allows malware to visually fool the user into believing that their phone is running in Lockdown Mode. This technique has not yet been observed in the wild and is only possible on a compromised device. The aim of this research is to emphasize that users can still be susceptible to attack if they are not fully aware of how Lockdown Mode works and its limitations. While Lockdown Mode effectively reduces the attack surface on an iOS device, it’s important to remember that once a device is already compromised, Lockdown Mode doesn’t stop malware from operating. Lockdown Mode doesn’t function as antivirus software, it doesn’t detect existing infections and it doesn’t affect the ability to spy on an already compromised device. It is really only effective — before an attack takes place — at reducing the number of entry points available to an attacker. This research explores a scenario in which a vulnerable device is compromised by an attacker who plants the code to implement Fake Lockdown Mode. When a high-risk user (e.g., journalists, government officials, executives) of the compromised device initiates Lockdown Mode, they trigger the attacker’s code that implements the visual cues of Lockdown Mode, but makes no changes to the device’s configuration. Has your Lockdown Mode been tampered with? Apple’s Lockdown mode in iOS 16 is a useful feature for certain situations, but if your phone has already been compromised, Lockdown Mode won’t protect you. This blog post delves into our research on Fake Lockdown Mode which shows that if a hacker has already infiltrated your device, they can cause Lockdown Mode to be “bypassed” when you trigger its activation. Introducing Lockdown Mode Apple introduced Lockdown Mode in September 2022 in response to a surge in global cyberattack campaigns. As shown below, according to Google’s Threat Analysis Group (TAG), 2021 and 2022 saw the highest number of in-the-wild zero-day attacks detected since they began tracking such incidents in mid-2014. In particular, one of the most notorious spyware brands, Pegasus, can infect the latest iPhone without any user interaction, known as a zero-click attack. Despite Apple’s ongoing efforts to improve its security architecture in recent years, Pegasus operators have demonstrated a remarkable ability to discover new vulnerabilities and execute zero-click attacks. This situation caused concern among users and prompted the development of Lockdown Mode as a solution to address this growing trend and provide peace of mind to iPhone users. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de