Secure Enclave Exploit

iOS-Sicherheit vor dem Todesstoß?

11.08.2020
Von   
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Ein neuer "unpatchbarer" Exploit, der angeblich auf Apples Secure-Enclave-Chip gefunden wurde, könnte den letzten Funken "Vertrauen" in das iOS-Ökosystem zum Erlöschen bringen.
Immer neue Exploits stellen die Sicherheit von iPhones und iPads vor Hackern in Frage.
Immer neue Exploits stellen die Sicherheit von iPhones und iPads vor Hackern in Frage.
Foto: Hadrian - shutterstock.com

Aktuell geistern mit checkra1n und unc0ver gleich zwei öffentlich verfügbare Jailbreaks durch das Internet und werfen einen dunklen Schatten auf die Sicherheit der iOS-Plattform. Der checkra1n Jailbreak basiert auf der checkm8-Sicherheitslücke, einem hardwaregestützten Exploit, weshalb es keine Möglichkeit für Apple gibt, die zugrunde liegende Schwachstelle auf den betroffenen Geräten (iPhone 5s, 6, 6 Plus, 7, 7 Plus, 8, 8 Plus, iPhone X) zu beheben. Der unc0ver Jailbreak wiederum basiert auf Software-Exploits bis in den iOS-Kernel. Dabei sind alle Gerätemodelle betroffen, auf denen iOS 11.0 bis 13.5 installiert werden können (ab iPhone 5s, alle iPad-Modelle). Bereits mit iOS 13.5.1 ist dieser Jailbreak jedoch nicht mehr nutzbar.

Anwender sind mit diesen (und anderen) Jailbreaks in der Lage, viele der von Apple implementierten Restriktionen auf ihren Geräten zu umgehen und "fremde" funktionserweiterte Apps oder OS-Features zu verwenden. Der Preis für dieses Mehr an Freiheit ist jedoch der Verlust diverser Schutzvorrichtungen von iOS, die Anwender beispielsweise vor Malware oder Datenschutz-Vergehen bewahren. Gleichzeitig stellt dies im dienstlichen Kontext ein enormes Risiko dar. Aktuell scheint sich aber ein weitaus größeres Problem am Firmament abzuzeichnen.

Secure Enclave in Gefahr?

Eine der wichtigsten Sicherheitsverbesserungen, die Apple im Laufe der Jahre für seine Geräte eingeführt hat, ist der Secure-Enclave-Chip. Dieser auch als SEP (Secure Enclave Processor) bezeichnete Chip ist ein Sicherheits-Co-Prozessor, der alle auf den Devices gespeicherten sensiblen Daten verschlüsselt und schützt. Es ist wichtig zu beachten, dass der Secure-Enclave-Chip zwar in das Gerät eingebaut ist, aber völlig getrennt vom Rest des Systems arbeitet. Jeder Schreib-/Lesezugriff zwischen Speicher und CPU wird durch die Secure Enclave zuverlässig mit AES-256-XEX(XTS) verschlüsselt.

Die Secure Enclave ist jedoch nicht nur für die Verschlüsselung der Datenströme verantwortlich, sondern speichert auch die dazugehörigen Schlüssel sowie sensible Daten wie Passwörter oder Apple-Pay-Kreditkarten. Sogar die zur biometrischen Identifizierung notwendigen mathematischen Ableitungen von TouchID und FaceID (diese erlauben keine Rückrechnung auf einen echten Finger oder ein echtes Gesicht) sind dort abgelegt. Keiner der bisherigen Jailbreaks konnte die Secure Enclave gefährden oder in diese einbrechen - bis jetzt.

Nun ist es nicht das erste Mal, dass Personen für sich beanspruchen, eine Sicherheitslücke in der Secure Enclave entdeckt zu haben. 2017 gelang es einer Gruppe von Hackern, die Secure-Enclave-Firmware zu entschlüsseln, um die Funktionsweise der Komponente zu untersuchen. Es war ihnen jedoch nicht möglich, Zugriff auf die privaten Schlüssel zu erhalten, so dass für die Anwender kein reales Risiko bestand.

Letzten Monat behaupteten Mitglieder des Pangu-Teams jedoch, sie hätten eine permanente Schwachstelle auch in diesem Teil des Chips, in der Secure Enclave selbst, gefunden. Der dabei gefundene Exploit soll für Apple unbehebbar sein und dazu führen, dass die Verschlüsselung der privaten Sicherheitsschlüssel geknackt werden kann. Dies bedeutet, dass sich die angeblich identifizierte Schwachstelle in der Hard- und nicht in der Software befindet. Betroffen seien - ähnlich wie bei checkm8 - alle iOS-Geräte mit einem A7, A8, A9, A10 oder A11 Chip.

Der (angebliche) iOS Exploit im Detail

Die Secure Enclave (nicht zu verwechseln mit dem Secure Element) ist Teil der A-Chip-Architektur von Apple. Der SEP ist mit einem Hardwarefilter in der Architektur isoliert, sodass der Prozessor selbst nicht auf ihn zugreifen kann. Er teilt sich dabei den verwendeten RAM mit dem Prozessor, aber ein Teil dieses RAM (bekannt als TZ0) ist verschlüsselt. Der SEP selbst ist dabei ein mit dem SEPOS flashbarer 4MB AKF-Prozessorkern. Der Aufbau wurde von Apple in der Patentanmeldung 20130308838 dokumentiert.

Die verwendete Technologie und der interne Aufbau ist dabei sehr ähnlich der TrustZone/SecurCore-Architektur von ARM. Allerdings wäre Apple nicht Apple, wenn der SEP keinen proprietären Code enthalten würde: Wie der BOOTROM verfügt auch dieser SEP-Chip über ein unabhängiges SPPROM zum Laden seines eigenen Betriebssystems (SEPOS) und des darauf laufenden Programmcodes.

Aufgrund der Besonderheit von ROM ist dieser jedoch ein in den Chip eingebautes System, das schreibgeschützt ist. Und genau dieses ROM bringt die Schwachstelle angeblich mit. Das Team Pangu demonstrierte auf einer Sicherheitskonferenz, wie sie einen Fehler im Speicher-Controller ausnutzen, um den TZ0-Registerspeicher, das den Bereich der SEP-Speichernutzung steuert, zu manipulieren. Wer sich für mehr Details interessiert, die Folien des Vortrages sind zwischenzeitlich öffentlich verfügbar.

Wie tief der Zugriff tatsächlich ist, welche Angriffe damit genau möglich sind, ist aktuell nicht bekannt. Der Zugriff kann aber bedeuteten, dass ein Zugriff auf Passwörter, Kreditkarten und vieles mehr möglich ist. Die Daten von vielen Tausend / Millionen iPhone-, iPad- und sogar Mac-Anwendern könnten, wenn dies stimmt, gefährdet sein.

Auch wenn noch nichts Konkretes bekannt ist, sollte man aber davon ausgehen können, dass auch dieser Exploit einen physischen Zugriff auf das Gerät erfordert. Dies liegt darin begründet, da der Inhalt des TZ0-Registers nach dem Bootprozess gesperrt ist und nicht geändert werden kann. Es darf daher als mehr als unwahrscheinlich angenommen werden, dass jemand aus der Ferne den Exploit ausnutzen kann. Die hier vorgestellten Maßnahmen, insbesondere das Abklemmen der USB-Schnittstellen, dürften auch für diesen Exploit (wahrscheinlich) ein guter Schutz sein.

iOS 14 bremst Jailbreak aus

Was den checkra1n-Jailbreak anbelangt, verschafft Unternehmen das im Herbst verfügbare Update auf iOS / iPadOS 14 erst mal eine Atempause. Grund dafür ist vermutlich, dass Apple dort viele neue interne Schutzmaßnahmen versteckt hat, um das Jailbreaken zu erschweren. Verwechseln Sie aber checkra1n nicht mit dem grundlegenden Problem (Exploit) unter dem Namen checkm8. Dieser besteht weiterhin in unveränderter Form. Außerdem gibt es inoffiziell bereits einen funktionierenden Jailbreak für iOS / iPadOS 14. Dieser wird jedoch vermutlich nicht vor dem Ende der Beta-Tests "offiziell" verfügbar sein, damit Apple nicht kurz vor Schluss noch Gegenmaßnahmen ergreift. (mb)