iOS 16: Sicherheitsforscher hacken Gerät und können den Flugmodus manipulieren

[English]Sicherheitsforschern ist es über Schwachstellen gelungen, die Flugmodus-Anzeige in Apples iOS 16 zu manipulieren. Während dem Nutzer der Flugmodus auf dem Display angezeigt wird und alle Apps den Internetzugang verlieren, kann eine schädliche App mit dem Gerät kommunizieren und ggf. Daten abziehen oder andere Gemeinheiten unternehmen.

Der Flugmodus ist bei Geräten eigentlich dazu da, die Funkverbindungen (WLAN, Mobilfunk) zu unterbrechen. Das kann im Flugzeug angebracht sein, oder auch unterwegs aus Sicherheitsgründen angeraten werden, wenn keine Verbindung zum Internet benötigt wird.

Flugmodus-Anzeige manipuliert

Sicherheitsforschern der Jamf Threat Labs ist es unter iOS 16 gelungen, eine Technik zu entwickeln, die den Flugmodus des Betriebssystems simulieren kann. Dies bedeutet, dass Angreifer einem Opfer vortäuschen können, der Flugmodus des Geräts wäre eingeschaltet. Der Angreifer hat (nach erfolgreichem Exploit des Geräts) in Wirklichkeit einen künstlichen Flugmodus installiert. Dieser verändert die Benutzeroberfläche so, dass das Flugmodus-Symbol angezeigt und die Internetverbindung zu allen Apps unterbrochen wird. Nur die Anwendung, die der Hacker einsetzen möchte, läuft in iOS 16 und kann eine Internetverbindung aufbauen. Die Technik wurde nach Aussagen der Sicherheitsforscher bisher wohl noch nicht von böswilligen Akteuren ausgenutzt.

Bringt der Flugmodus wirklich mehr Mehr Sicherheit?

Der Flugmodus sorgt dafür, dass Passagiere ihre Endgeräte wie Smartphones oder Laptops während eines Fluges sicher nutzen können, die Funkverbindungen (WLAN, Mobilfunk) aber deaktiviert sind. Der Flugmodus wird mittlerweile von Nutzerinnen und Nutzern aber nicht mehr nur auf Reisen verwendet. Viele Leute setzen auf den Flugmodus, um den Akku zu schonen oder um sich zeitweise aus unserer "always-on"-Welt auszuklinken. Andere versprechen sich bei eingeschaltetem Flugmodus zusätzliche Privatsphäre, zum Beispiel bei vertraulichen Meetings oder dem Besuch von gesicherten Einrichtungen.

Die große Frage ist aber: Führt ein eingeschalteter Flugmodus tatsächlich zu mehr Sicherheit und Privatsphäre? Die Forscher in den Jamf Threat Labs haben sich intensiv mit dem Flugmodus von Apple befasst und dabei herausgefunden, dass es möglich ist, eine Mobilfunkverbindung für eine Anwendung aufrechtzuerhalten, selbst wenn der Nutzer glaubt, den Flugmodus aktiviert zu haben.

Wie wurde der Flugmodus manipuliert?

Die Forscher haben es geschafft, den zugrundeliegenden Code so zu verändern, dass zwar das Symbol für den Flugmodus erscheint, die Internetverbindung für bestimmte Anwendungen aber weiter aufrechterhalten bleibt. Um die Täuschung möglichst echt wirken zu lassen, wurden folgende Veränderungen vorgenommen:

• Das Symbol für den Flugmodus wird eingeschaltet.
• Das Symbol für die Netzwerkverbindung oder WLAN wird ausgegraut.
• Beim Öffnen des Browsers erscheint die Fehlermeldung, die bei eingeschaltetem Flugmodus erwartet wird (siehe Bild).

Fake Flugmodus in iOS, Quelle/Bildrechte: Jamf

Außerdem gelang es den Forschern, den Zugang zu Mobilfunkdaten bzw. WLAN für sämtliche Apps zu unterbrechen, während er für nur eine ausgewählte Anwendung bestehen bleibt. Der Nutzer glaubt, dass der Flugmodus aktiviert und die Internetverbindung unterbrochen ist, während ein potentieller Hacker weiterhin über ausgewählte Anwendungen Daten auf das Gerät laden oder vom Gerät ziehen können.

Der obige Screenshot zeigt, wie die Forscher die Meldung, die normalerweise ausgelöst wird, wenn der mobile Datenzugriff für bestimmte Apps blockiert wird (links), in ein Benachrichtigungsfenster, das wie die typische Flugzeugmodus-Meldung aussieht, (rechts) umgewandelt haben.

Wie könnten Hacker diese Schwachstelle ausnutzen?

Das Threat-Labs-Team beschreibt (siehe dieses Video), wie ein Angreifer diese Technik bei einem Überwachungsangriff einsetzen könnte. Wenn der gefälschte Flugmodus aktiv ist – d. h. das Gerät anzeigt, dass es sich im Flugmodus befindet – kann der Angreifer beispielsweise die Kamera oder das Mikrofon aktivieren und Live-Streams vom Gerät übertragen, ohne dass der Benutzer einen Verstoß bemerkt. Weitere Details haben die Sicherheitsforscher in diesem Blog-Beitrag veröffentlicht.