Kommunikation zwischen Geräten?
Automatische iPhone-Neustarts erschweren Ermittlungsarbeit
In den USA berichten Strafverfolgungsbehörden von einer neuen Herausforderung bei der Untersuchung beschlagnahmter iPhones. In einem Dokument, das von dem US-amerikanischen Medium 404 Media veröffentlicht wurde, wird beschrieben, wie mehrere iPhones in forensischen Laboren plötzlich und ohne äußerlichen Einfluss neu starteten.
Wird gerne von Ermittlern genutzt: Die sogenannte GrayKey-Box
Diese Geräte waren in den Laboren zur Beweissicherung und sollten dort eigentlich „After First Unlock“-Status (AFU) verbleiben, der Forensikern die Datenanalyse zumindest in Teilen erleichtert. Nach dem automatischen Neustart befanden sie sich die fraglichen iPhone-Modelle jedoch wieder im sichereren „Before First Unlock“-Status (BFU), der den Zugriff auf gespeicherte Daten erheblich erschweren soll.
Als Ursache vermuten Ermittler eine neue Sicherheitsfunktion von iOS 18. Das iPhone-Betriebssystem könnte Geräte automatisch neu starten lassen, wenn diese für längere Zeit nicht mit einem Mobilfunknetz verbunden sind. Auch Geräte im Flugmodus und solchen, die von sämtlichen äußeren Signalen abgeschottet aufbewahrt wurden, waren betroffen.
Ein Ausschnitt aus dem geleakten Dokument
Kommunikation zwischen Geräten?
Ermittler gehen davon aus, dass iPhones in unmittelbarer Nähe möglicherweise miteinander kommunizieren und sich gegenseitig zum Neustart veranlassen, wenn sie längere Zeit ohne Netzwerkverbindung bleiben. Diese Theorie, so die Ermittler, könnte auch für iPhones gelten, die forensische Experten privat nutzen, wenn diese ebenfalls iOS 18 verwenden.
Apple hat sich bisher nicht dazu geäußert, ob die beschriebenen Reboots tatsächlich auf eine gezielte Maßnahme zurückzuführen sind. Die Vermutung, dass die Geräte bewusste Neustarts vornehmen, um sich so vor Zugriffen Dritter zu schützen konnte daher noch nicht bestätigt werden.
Getrennte Aufbewahrung empfohlen
Das Dokument endet mit Ratschlägen für Strafverfolger und Forensiker: AFU-Geräte sollten von iOS-18-Geräten isoliert werden, um einen ungewollten Neustart und den Verlust des AFU-Zustands zu vermeiden.
Als ich das Ende vom Bericht gelesen habe musst ich schon schmunzeln.
Wie in der Schule. Den Störenfried von den anderen trennen damit es harmonisch bleibt.
Hatte den selben Gedanken. Hatte (in der Schule) aber nie funktioniert.
Ich hatte überlegt, ob man die iPhones einfach in Alufolie eingewickelt :-)
Oh nein, die ärmsten :D
so banal und effektiv. Da muss man erstmal drauf kommen.
Finde ich ein nettes Feature.
Macht das iPad auch ohne iPhone mit iOS 18 in der Nähe
:D
Als technischer Laie stell ich mir die Frage nach dem Sinn warum für die Voraussetzung eines Neustarts ein weiteres Gerät mit iOS 18 benötigt wird, anstatt diese „Funktion“ nach bestimmten Parametern selbstständig auszulösen?!?
Ich denke da denkst du richtig. Wieso müssen irgendwelche Geräte miteinander kommunizieren? Viel schlauer wäre es, wenn die sich einfach selbst neustarten, um von AFU zu BFU zu kommen. U. A. deshalb hat GrapheneOS ja das auch standardmäßig aktiv (ein Neustart jede X Std.), das ist effektiv und da braucht Apple gar nicht großartig komplexe Inter-Device-Kommunikation für.
Gut, die sind natürlich die „Experten“.
@Peter: Ich deute den Text etwas anders als du. Nach meinem Verständnis braucht es kein anderes „vorbeikommendes“ iPhone welches dann kurz den Befehl zum Neustart gibt. Die Kommunikation zwischen mehreren iPhones findet vermutlich eher statt um, salopp gesagt, die Situation einschätzen zu können.
Das ein einziges iPhone mehrere Tage eingeschaltet aber ohne Netzverbindung „herumliegt“ ist vermutlich einiges warscheinlicher/normaler als wenn mehrere iPhones auf einem Haufen eingeschaltet aber ohne Netzverbindung herumliegen. Letzteren Zustand findet man vermutlich eher beim FBI, bei Hackern, bei Kriminellen, bei Ankaufplattformen, Werkstätten etc. also ausserhalb der Hände/Reichweite des tatsächlichen Nutzers/Besitzers des iPhones. Da ergibt es dann durchaus Sinn in den sichereren Zustand neuzustarten.
Also KEIN
iPhone A: „Ich lieg hier seit mehreren Tagen ohne Netz herum und weiss nicht was ich tun soll. Hilfe!“
zufällig vorbeikommendes iPhone B: „Hey iPhone A! Ich hab deinen Hilferuf vernommen, Ich hab eine Idee, starte doch mal neu!“
iPhone A: Oh. das könnte ich tatsächlich tun. Danke“
sondern eher ein:
B: „Hey iPhone A. Ich liege hier schon seit X Tagen ohne Netzverbindung. Hast du Netz“
A: „Hi iPhone B. Ich liege hier auch schon seit Y Tagen herum und habe genau so lange keine Netzverbindung mehr. Neben mir liegt auch iPhone C dem es genau so geht. Das ist nicht normal. Lass uns mal lieber neu starten um uns besser abzusichern“
Gerne Text nochmal lesen, danke. :-)
Habs jetzt noch mal gelesen. Ergibt immer noch keinen Sinn.
Nehmen wir Absatz 3 her: Es gibt also eine Sicherheitsfunktion ab iOS 18, wo Geräte von selbst neu starten, wenn lange Zeit ohne Netzwerk. Bzw. da steht, dass iOS Geräte neu starten lässt. Ob damit das Gerät gemeint ist, wo eben dieses iOS auch drauf ist, oder ob das iOS eines anderen Gerätes auch ein Gerät zum neu starten bringen kann, ist in dem Absatz noch offen.
Dann Absatz 4: Hier wird erwähnt, dass die Ermittler meinen, die Geräte würden untereinander kommunizieren, um sich zu einem Neustart zu bewegen. Wie viele der Geräte iOS 18 laufen haben müssen (beide oder nur eins von beiden, und falls letzteres, welches der beiden) bleibt aber offen. Und welches der Geräte jetzt genau für längere Zeit ohne Netzwerk sein muss, oder ob beide das müssen, eigentlich auch. Der Text wird nicht sehr konkret.
In Absatz 6 dann noch mal ein bisschen mehr Info: „AFU-Geräte sollten von iOS-18-Geräten isoliert werden“. Da wird jetzt schon klarer, was gemeint ist. AFU-Geräte sind ja die, die im Verwahrsam sind und wo man nicht will, dass die sich neu starten (als Strafverfolgungsbehördenmitglied) und dann BFU werden. Die können also anscheinend auch iOS-Versionen =18-Gerät.
Wie das 18er das jetzt wissen soll, dass da Geräte ohne Netzwerk rumliegen, unklar. Advertisen die iPhones also per BLE, „hey ich bin ein AFU-iPhone und hab seit 3 Tagen kein WLAN gesehen“ und warten dann auf Befehle von zufällig vorbeilaufenden Geräten die sowas sagen wie „Ja du 3 Tage echt lang, starte dich mal neu“? Das scheint die Aussage zu sein. Dann aber die Frage: Wieso? Wieso kann so ein AFU-iPhone nicht einfach selbst sich denken „Uh, 3 Tage ohne Netzwerk, ich starte mich mal neu.“, wofür braucht das da noch mal den Befehl von irgendeinem Gerät in der Nähe?
Also ist nicht so als ob ich mir nicht irgendwelche Szenarien ausdenken könnte. Vielleicht kann ja die GrayKey-Box für AFU-Geräte irgendwie die interne Uhr manipulieren um so einen Neustart zu verhindern und mangels Netzwerk merkt das Gerät dann gar nicht, dass es sich schon lange nicht mehr neugestartet hat. Und dagegen geht Apple jetzt an, indem die iPhones sich gegenseitig ihre eingestellten Zeiten auf Plausibilität prüfen so „hey ich denke wir haben den 25.11. aber ich hatte seit 3 Tagen kein Internet was meinst du?“ und das andere antwortet „Ne du bei mir schreiben wir schon den 28.11. und das hab ich vor 5 Minuten erst per NTP reinbekommen da stimmt vll was nicht bei dir“ und daraufhin startet sich dann das erste Gerät lieber mal neu. Oder was auch immer sonst…
Aber so ohne weitere Begründung wieso man da jetzt bei denen denkt, dass da so umständliche Kommunikation betrieben wird, ist diese Meldung für mich doch eher abstrus erstmal.
@Peter super Zusammenfassung!
Wahnsinn, da wird immer ganz groß mit dem Datenschutz um sich geschlagen und wird so etwas „Ermittler gehen davon aus, dass iPhones in unmittelbarer Nähe möglicherweise miteinander kommunizieren“ auch noch gelobt.
Ich will nicht, dass mein iPhone mit anderen kommuniziert!
Ich glaube, du hast das nicht richtig verstanden
Was meinst Du wie ‚Wo ist‘ funktioniert? Natürlich müssen die Geräte untereinander kommunizieren. Da spricht auch überhaupt nichts dagegen wenn es verschlüsselt stattfindet und der Datenschutz gewahrt bleibt. Wenn Du das nicht willst musst Du Funktionen wie ‚Wo ist‘ und Co eben deaktivieren bzw. darfst AirTags usw. nicht nutzen.
Bald kommuniziert nicht nur dein IPhone ungefragt mit einem anderen IPhone sondern dein Auto auch mit anderen Autos
Tun sie schon zumindest die, die nen Autopiloten haben.
Es macht immer TutTut
Den ganzen Tag TutTut
Auch du bitte nochmal in Ruhe den Text lesen
Ich will nicht, dass du das Internet benutzt. Ich glaube, du bist dafür noch nicht geeignet.
Absolut klasse von Apple, Android Phones sind hingegen sehr schnell offen- auch für Privatleute.
Was meinst du genau mit „sehr schnell offen“?
Sehr schnell …
https://www.stern.de/digital/smartphones/iphone–android–smartphones–die-das-fbi-hacken-kann-34896774.html
https://www.ingenieur.de/wirtschaft/1-mrd-android-handys-leicht-zu-hacken/
Wie kann man das denn nicht verstehen? Sehr schnell entsperrt, also offen.
„Depending on which lock state the device is in, the extraction of the device will only be able to collect certain information. This is because iPhones, as well as newer versions of Android, utilize a form of encryption known as file-based encryption which makes files inaccessible while the device is locked after a reboot. … Generally, iOS devices seem to give a larger amount of data than Android in the BFU state.“
Kein Kommentar!
„… seem to…“
Kein Kommentar!
Ausschalten könnte man noch per Kurzbefehle hinbekommen, Neustart geht damit wohl nicht
Neustart als Kurzbefehl gibt es auch.
Wie mache ich das ohne Nachfrage?
Hab einen Kurzbefehl „Neustart“ und eine automatiln, die diesen ausführt wenn flugmodus aktiviert wird. Trotz „sofort ausführen“ und „keine Benachrichtigung“ fragt das Telefon nach..
ach deshalb wird mir morgens (auch vor io18 allerdings) beim Entpserren mit face-ID öfter mal angezeigt, dass ich zur Nutzung von F.ID zunächst den Code eingeben müsse. Jetzt wird’n Schuh draus. Hatte mich schon gewundert. und Ja: ich mach nachts einfach den Flugmodus an anstatt irgendwelcher Fokusse
+1
Nicht unbedingt.
Code wird im Betrieb erneut verlangt, wenn das Gerät für 24 (oder sind es mittlerweile 48) Stunden nicht entsperrt wurde oder nach Ablauf von 7 Tagen. Je nachdem, was zuerst eintritt.
Könnte der Grund sein. Kannst du irgendwie uptime auslesen, um sicher zu gehen, dass es auch ein Neustart war? Weil nur Deaktivierung von Face ID / Touch ID (wie man es ja z. B. auch mit 5-mal tippen auf den Power Button erwirken kann) bringt das Gerät noch nicht in BFU.
Nach einem Neustart wäre es auf jeden Fall in BFU und Face ID / Touch ID wäre nicht nutzbar, andersrum bedeutet es aber nicht, dass nur weil Face ID / Touch ID deaktiviert wurden, dass das Gerät dann auch wirklich neugestartet hat und in BFU ist. Es kann dann immer noch in AFU sein (und somit leichter durch so Boxen wie im Artikelbild angreifbar). Nicht, dass das jetzt bei dir relevant wäre, aber wäre interessant zu wissen generell.
Wenn du mir sagst, wie ich das auslesen kann..
@Scoo: z. B. https://apps.apple.com/jp/app/system-status-hw-monitor/id407752428
Ist ja auch richtig,
Was gehen andere meine Daten an
Sehe ich genauso.
Ich hab einen Kurz Befehl eingerichtet, der jede Nacht das iPhone neu startet
Kannst den zur Verfügung stellen?
Ich habe das Neustarten über Kurzbefehle für 2x die Woche versucht. Angelegt ist es, aber von ganz alleine startet es ohne Zutun leider nicht…!
Hat da wer Erfahrungen???
Bitte Redaktion, bringt eine Schritt für Schritt Anleitung für einen Kurzbefehl, so das das Gerät jede Nacht um 3 Uhr neu startet! Das wäre eine tolle Funktion!
Und wofür soll das gut sein? Wenn man seine Zugänge mit einem PIN gesichert hat und das Teil mitten in der Nacht neu startet bist du ab da nicht mehr erreichbar, weil es logischerweise nicht klingelt. Für manch einen ist das fatal bei 24 Stunden Erreichbarkeit wenn das Teil mitten in der Nacht neu startet und sich nicht im Mobilfunknetz anmeldet. Für Ärzte, Notdienst, Kranke und Alte oder wen auch immer ist das super scheiße.
Die Frage ist nach welcher Zeit es sich gebootet?