Forscher: Malware kann auf ausgeschalteten iPhones laufen

Sicherheit (Pexels, allgemeine Nutzung)[English]Ein ausgeschaltetes Smartphone ist nicht aus – das kennt man aus Filmen, wo Akkus aus den Smartphones entnommen und die Geräte in einen Kühlschrank oder Blechdosen gelegt werden. Auf einem ausgeschalteten iPhone kann man durchaus Malware laufen lassen. Das haben Sicherheitsforscher aus Darmstadt in einem Experiment gerade nachgewiesen. Es ist etwas tricky und benötigt Bluetooth-, NFC-Chips etc. in einem iPhone – aber es geht.


Anzeige

Die Info ist mir bereits vor zwei Tagen unter die Augen gekommen und wird in nachfolgendem Tweet adressiert – bei Hackread gibt es diesen Beitrag dazu. Die Sicherheitsforscher um Jiska Classen, Robert Reith, Alexander Heinrich und Matthias Hollick vom Secure Mobile Networking Lab der TU Darmstadt haben das Ganze in einem 11 seitigen Dokument mit dem Titel Evil Never Sleeps: When Wireless Malware Stays On After Turning Off iPhones (PDF) veröffentlicht. Die Forschungsergebnisse sollen diese Woche auf der WiSec 2022 (ACM Conference on Security and Privacy in Wireless and Mobile Networks) präsentiert werden.

Malware on iPhone that's switched off

Die Sicherheitsforscher machten sie bei ihrer Arbeit die Erkenntnis zunutze, dass bei einem ausgeschalteten iPhone die meisten Funkchips (für Bluetooth, Near-Field-Communication NFC oder WLAN) eingeschaltet bleiben und vom Akku weiter versorgt werden. Dadurch kann ein Gerätebesitzer auch ein ausgeschaltetes iPhone beispielsweise über die Funktion "Mein Netzwerk suchen" auffinden. Geht die Akku-Ladung zur Neige, schaltet sich das iPhone zwar automatisch aus, wechselt aber intern in einen Stromsparmodus, ist also auch dann nicht komplett ausgeschaltet. Nutzer können noch auf Daten von Kreditkarten, Studentenausweisen und andere Informationen, die in der Wallet (digitale Brieftasche) auf dem iPhone im Sicherheitschip (Secure Enclave Processor) gespeichert sind, zugreifen.

Das Team des Mobile Networking Lab der TU Darmstadt hat nun analysiert, wie Apple diese eigenständigen Funktionen, die einen drahtlosen Zugriff auf die digitale Geldbörse ermöglicht und selbst dann noch funktionieren, wenn iOS nicht läuft,  implementiert wurde. Aus dem Forschungspapier geht hervor, dass auf aktuellen iPhones Bluetooth, Near Field Kommunikation (NFC) und Ultrabreitband (UWB) auch nach dem nach dem Ausschalten des Geräts weiter funktionieren.

Andererseits haben alle drei oben genannten Funkchips direkten Zugriff auf den Sicherheitschip, in dem die Daten der digitalen Brieftasche (Wallet) gespeichert sind. In ihrem Dokument demonstriert das Team, dass eine Möglichkeit gibt, Malware auf einen Bluetooth-Chip des iPhone zu laden. Die Malware kann ausgeführt werden, während das iPhone ausgeschaltet ist.

Die Details lassen sich im PDF-Dokument Evil Never Sleeps: When Wireless Malware Stays On After Turning Off iPhones nachlesen. Das Ganze ist aktuell zwar nur eine Nachweis, dass es funktioniert – zeigt aber, welche Sicherheitsprobleme in modernen Geräten schlummern. So können auch ausgeschaltete iPhones in Tracking- und Überwachungsgeräte verwandelt werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter iPhone, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Forscher: Malware kann auf ausgeschalteten iPhones laufen

  1. GüntherW sagt:

    Ich würde ja gerne mal wissen wie häufig die Option "Find My Network" bei den Nutzern wirklich Einsatz kommt oder auch nichts anderes helfen würde. Wenn man sein Smartphone verliert, dann ist es sicher eine gute Möglichkeit. Abe ansonsten erkauft man sich Sicherheit/Komfort für anderweitige Probleme.

  2. Cestmoi sagt:

    Betr. "Malware kann auf ausgeschalteten [Systemen] laufen", slightly off-topic:

    War gerade am Rekapitulieren ob das für PCs und Server im Falle von UEFI Code und SMM Code nicht auch gilt. Finde nichts, weiss jemand was? Danke.

    • 1ST1 sagt:

      UEFI sicher nicht, aber im Baseboard-Management, IPMI usw, man denke da an HP-Ilo oder Dell iDRAC wäre sowas durchaus denkbar, sobald der Server am Strom hängt, läuft das. Allerdings vernünftigerweise hat man diese Management-Lösungen in einem eigenen VLAN, per Firewall vom Rest abgeschottet…

      • Hobbyadmin sagt:

        Weitere Ansätze:
        1. Ausgeschalteten PC vom Strom trennen
        2. PC via kleinen Switch am LAN, Switch vom Strom trennen

        • Jackie sagt:

          Geht einfacher zusätzliche Netzwerkkarte verbauen und nur die benutzen, damit hätte man sowas wie die Intel ME im Dektoprechner schon mal abgeklemmt. Remote Management von Servern, Switchen und Co. gehört ansonsten immer in ein eigenes Netzwerk.

          Bei meiner Firewall nutze ich tatsächlich die Onboard Netzwerkkarte trotz Intel Chipsatz genau wegen der Intel ME nicht. Zudem bleibt die Firewall so halt auch unabhängig von irgendwelcher Hardware, ich habe für die verbauten Netzwerkkarten sogar Ersatz.

          Aber ich bin vielleicht etwas zu paranoid geworden :) Privat verwende ich nichmal mehr Virtualisierung oder VLANs. Netzwerke werden an der Firewall getrennt und das physisch!

        • Paul sagt:

          Das man auch über die Stromaufnahme (sirren der Kabel) den Air gap überwinden kann ist nicht bekannt?
          Mal Snoden lesen…

  3. Hariboli sagt:

    Bei Samsung-Geräten kann man diese "Finden"-Funktion aussschalten bzw man muss sie aktiv einschalten als Käufer.

  4. Bolko sagt:

    Funktionieren Aufzeichnung von Audio oder von Bewegungen im ausgeschalteten Zustand?
    Wird die IMEI oder die IMSI an Funkmaste gemeldet, wenn das Smartphone aus ist?

  5. Gerold sagt:

    Dürfte schon länger bekannt sein, wurde bisher aber unter dem Deckel gehalten. Ich denke da an Firmen die Spionagesoftware wie Pegasus entwickeln. Bin gespannt wie sich Apple äussern wird.

    Dazu passen gestern die Meldung über einen Tesla Bluetooth-Hack:

    Tesla Diebstahl-GAU: Bluetooth-Hack öffnet Türen und startet Autos

    Sicherheitsforscher behaupten, einen Weg gefunden zu haben, das Tesla Model 3 und das Tesla Model Y via Bluetooth hacken zu können. Sie entwickelten ein Tool, mit dem sich fremde Fahrzeuge öffnen und bedienen lassen – und das innerhalb weniger Sekunden.

    https://winfuture.de/news,129683.html

  6. Art sagt:

    ..verwundert mich nicht, wenn ich mir anschaue, wie umständlich es bereits ist ein aktuelles iOS Grät überhaupt abschalten zu können: Power Button drücken wäre viel zu einfach….

  7. Paul sagt:

    Es ist ein Hollywood-Märchen daß ein Kühlschrank ein Faraday Käfig wäre und so Strahlung verhindert.

    Sicher ist man nur in der Mikrowelle, wenn man diese ca. 2 Minuten laufen gelassen hat…

    Ein Alu Kochtopf mit einem dichtunglosen Deckel wird eher funktionieren.

    Akku raus wird ed dankt EU ja bald auch wieder geben.
    .

Schreibe einen Kommentar zu Bolko Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.