Apple Wie Computerwissenschaftler das iPhone hackten

Mit der geschickten Kombination aus einer an sich alten Angriffsstrategie und einer neuen Einbruchmethode haben die beiden Computerwissenschaftler Vincenco Iozzo und Ralf-Philipp Weinmann ein iPhone gehackt und die geschützte SMS-Datenbank heruntergeladen. Die beiden Forscher folgten dabei dem Schlachtplan, den Hovav Shacham bereits im Jahr 2007 präsentiert hat.

Die Methode nennt sich „return-into-libc“ und funktioniert recht einfach. „Libc“ ist eine Sammlung von Softwarefunktionen, welche die Programmiersprache „C“ zur Verfügung stellt. Komplexe Software wie zum Beispiel das Betriebssystem eines Smartphones besteht aus vielen Unterprogrammen und sogenannten Softwaremodulen. Jedes Modul erledigt eine ganz bestimmte Aufgabe, zum Beispiel das Auslösen des Klingeltons oder die Beleuchtung des Displays. Auch die Verwaltung der Datenbank mit den angerufenen Nummern oder des Adressbuchs wird von einem eigenen Unterprogramm vorgenommen.

Es wird „gesprungen“

Deshalb muss innerhalb des Betriebssystems sehr oft von einem Softwaremodul zu einem anderen gewechselt werden. Es wird „gesprungen“. Die Programmstellen, von denen aus in einem Unterprogramm weggesprungen wird, werden in einem speziellen Speicherbereich verwaltet. Dort sind auch die Programmstellen gespeichert, die aus einem bestimmten Softwaremodul angesprungen wurden. Wenn nach Erledigung der Aufgabe eines Moduls zum ursprünglichen Programm zurückgesprungen werden soll, wird die Rücksprungadresse, also die Stelle, von der aus zu dem Modul verzweigt wurde, ebenfalls aus diesem speziellen Speicherbereich ausgelesen.

Eine solche Rücksprungadresse, die im Verwaltungsmodul des iPhone-Betriebssystems für eine derartige Rückkehr hinterlegt ist, haben Vincenco Iozzo und Ralf-Philipp Weinmann nach den bisher bekanntgewordenen Informationen gegen eine Schadfunktion ausgetauscht. Dies schadenstiftende Programm kann aus bereits im Speicher vorhandenen Code-Fragmenten, also Programmzeilen, zusammengebaut werden. Die Angreifer bedienen sich als Waffe also der internen Programmierung des Smartphones. Die neue Funktion, mit der die alte Rücksprungadresse überschrieben wurde, hat dann die SMS-Datenbank kopiert.

Speicherüberlauf als Türöffner

Um überhaupt in den Speicherbereich der Rücksprungadressen gelangen zu können, haben die Angreifer einen sogenannten Speicherüberlauf ausgelöst. Dabei wurde offensichtlich eine Sicherheitslücke ausgenutzt, die in Kombination mit der gewählten Angriffsstrategie von Sicherheitsexperten des amerikanischen Verteidigungsministeriums als äußerst wirkungsvolle Waffe im Cyber-Krieg eingeschätzt wird. Damit Angreifer diese Lücke ausnutzen können, muss das angegriffene Smartphone Verbindungsdaten mit einer Internetseite austauschen. Die Angriffsstrategie funktioniert also nur dann, wenn der iPhone-Besitzer gerade im World Wide Web surft.

Rücksprungadressen haben eine bestimmte definierte Länge. Wenn ein Anwender mit seinem iPhone auf eine Website surft, werden von dieser Website verschiedene Parameter für die Datenübertragung an das Smartphone-Betriebssystem übermittelt. Hier liegt nun eine vieldiskutierte Sicherheitslücke. Wenn nämlich die Systemprogramme des iPhone diese Parameter ungeprüft übernehmen und nicht einmal die Länge der übermittelten Eingabevariablen kontrollieren, dann kann - von einer entsprechend präparierten Website - zusammen mit der Web-Adresse eine Variable übergeben werden, die länger ist als die üblichen Rücksprungadressen. Ergebnis: Speicherüberlauf.

Hacker-Wettbewerb in Vancouver

Rein programmtechnisch gesehen passiert wenig Spektakuläres. Genau das macht diese Angriffsmethode so gefährlich. Doch durch das Überschreiben der Rücksprungadressen hinter der erwarteten Eingabevariablen öffnen die Angreifer gewissermaßen das iPhone und können von da aus beliebige Schadsoftware ausführen lassen. Beim Hacker-Wettbewerb in Vancouver haben Vincenco Iozzo und Ralf-Philipp Weinmann lediglich die SMS-Datenbank von einem handelsüblichen iPhone gestohlen.

Aber mit dieser Angriffsmethode lassen sich auch andere Missbrauchsszenarien leicht verwirklichen. So kann das iPhone zur Wanze gemacht werden, die alles, was in ihrer unmittelbaren Umgebung gesagt wird, über eine verdeckte Sprachverbindung übermittelt. Auch lassen sich auf diese Weise sehr einfach E-Mails ausspionieren, die an das Smartphone geschickt werden oder vom geknackten iPhone aus gesendet wurden.

Die genauen Details des iPhone-Hacks und der Sicherheitslücke haben die beiden Computerwissenschaftler und die Organisatoren des Hacker-Wettbewerbs an Apple übermittelt, damit dort die Sicherheitslücke geschlossen werden kann. Erst danach wollen sie genauere Details des gezeigten Angriffs auf das Smartphone bekanntgeben.