Das Threat Labs-Team von Jamf, Anbieter für die Verwaltung und den Schutz von Apple Geräten, hat eine Manipulationstechnik in iOS-Endgeräten identifiziert, die auf kompromittierten Geräten dazu genutzt werden kann, ein falsches Sicherheitsgefühl beim Nutzer zu erzeugen.
Dabei handelt es sich nicht um eine iOS-immanente Schwachstelle oder einen Code-Fehler im Blockierungsmodus von iOS-Endgeräten, sondern um eine gezielte Manipulationsmethode. Dabei wird dem Nutzer mithilfe von Malware visuell vorgetäuscht, dass sich sein Gerät im Blockierungsmodus befindet, ohne dass dieser tatsächlich aktiviert ist und die entsprechenden Schutzfunktionen eingeschaltet werden. Diese Methode wird nach aktuellem Stand bislang noch nicht von Hackern genutzt. Das Ziel der Analyse ist die Sensibilisierung der Nutzer für die Funktionsweise und Limitierungen des Blockierungsmodus.
Wie funktioniert der Blockierungsmodus auf iOS-Geräten?
Der Blockierungsmodus von iOS-Geräten schränkt Apps und Funktionen ein. Zum Beispiel blockiert die Einstellung die meisten Nachrichtenanhänge oder verhindert die Verbindung mit ungesicherten WLAN-Netzwerken, um die Angriffsfläche zu reduzieren. Damit ist der Blockierungsmodus eine rein präventive Schutzmaßnahme. Im Gegensatz zu einer Antiviren-Software erkennt er keine bestehenden Infektionen mit Malware und anderer schädlicher Software. Dementsprechend reduziert er zwar die möglichen Angriffsvektoren, denen ein Gerät ausgesetzt ist, kann aber auf bereits kompromittierten Geräten die Ausführung von schädlicher Software nicht verhindern.
Der falsche Blockierungsmodus
Auf dieser Basis hat das Threat Labs-Team von Jamf ein Szenario simuliert, in dem ein Gerät von Angreifern mit Malware kompromittiert wurde, die einen falschen Blockierungsmodus vortäuschen kann. Wenn ein Nutzer im nächsten Schritt den Blockierungsmodus einschaltet, wird auch gleichzeitig die Malware aktiviert. Diese zeigt zwar mit sämtlichen visuellen Anzeichen an, dass der Blockierungsmodus eingeschaltet wurde, aber die entsprechenden Schutzfunktionen werden nicht aktiviert.
Wer könnte potenziell betroffen sein?
Potenziell kann jeder Nutzer eines kompromittierten iOS-Endgeräts von dieser Angriffsmethode betroffen sein. Allerdings ist der Einsatz bei Angriffen auf Nutzer mit besonders hohem Risiko (z.B. Journalisten, Regierungsbeamte und leitende Angestellte) naheliegend, bei denen es wahrscheinlich ist, dass sie den Blockierungsmodus als präventiven Schutzmechanismus verwenden könnten.
Weitere Informationen:
Eine ausführliche technische Analyse des falschen Blockierungsmodus finden Sie auf dem Blog von Jamf.
www.jamf.com