Es kostet nur 100 Dollar, ein iPhone 5c zu knacken

Erinnert sich noch jemand an den erbitterten Frühjahrsstreit zwischen Apple und dem FBI? Ermittler wollten Apple zwingen, eine universelle Hintertür ins mobile Betriebssystem zu programmieren, um an Daten auf dem gesperrten iPhone 5c des San-Bernardino-Attentäters Syed Farook zu kommen. Apple weigerte sich: Eine solche Lücke würde die Sicherheit aller Kunden kompromittieren. Das FBI engagierte nach monatelangem Hickhack und Gerichtsanhörungen letztlich unbekannte Hacker, und siehe da: Die Behörde fand mit deren Hilfe doch einen Weg auf das iPhone. Über die Hacking-Methode allerdings schweigt man sich eisern aus.

Nur so viel verriet das FBI gern: Eine Million Dollar hätte der Spaß gekostet, verkündeten Sprecher öffentlichkeitswirksam—damit der Steuerzahler auch weiß, wen er für den aufwändigen Einbruch verantwortlich machen darf (die unkooperative Firma Apple natürlich!).

Wie ein Hacker aber nun demonstriert, hat ihn das Knacken eines iPhone5c gerade mal einen kleinen Ausflug zum Elektromarkt und neben vier Monaten Arbeitszeit mickrige 100 US-Dollar an Materialwert gekostet.

Der Sicherheitsforscher Dr. Sergei Skorobogatov aus dem IT-Institut der Uni Cambrigde hat seine geduldigen Versuche netterweise in einem PDF öffentlich dokumentiert und zeigt außerdem in einem anschaulichen Video, wie sich das FBI auch für rund 0,1% der angeblich tatsächlich getätigten Ausgaben Zugang zum iPhone 5c hätte verschaffen können.

Dabei kommt eine Methode zur Anwendung, die der ACLU-Mitarbeiter Daniel Kahn Gillmor schon im März als mögliche Schwachstelle identifiziert hatte. Kahn zeigte somit auch, dass die Behauptung des FBIs, man müsse Apple im Interesse der öffentlichen Sicherheit zu einer Hintertür zwingen, schlichtweg gelogen ist.

Konkret geht es um das NAND-Mirroring, bei dem der Speicherchip des iPhones, der die fehlgeschlagenen Eingabeversuche des Passcodes zählt und das Telefon nach zehn falschen Eingaben sperrt, ausgebaut und kopiert wird, um den Zähler für die Fehlversuche auszutricksen. „Weil ich so viele Klone erstellen kann, wie ich möchte, kann ich den Prozess so oft wiederholen, bis der richtige Passcode gefunden wurde", erläutert Skorobogatov.

Nach sechs fehlgeschlagenen Passcode-Versuchen (danach sperrt sich das iPhone für eine Stunde vor einer neuen Eingabe) kopierte Skorobogatov die zuvor extern gesicherten Originaldaten des Chips wieder auf den Chip zurück und hatte sechs neue Versuche. Das schaffte er in 45 Sekunden; um alle 10.000 Vierer-Kombinationen durchzuprobieren, bräuchte er also knapp 20 Stunden.

Konkret auf diese Methode angesprochen, schüttelte FBI-Direktor James Comey bei einer Pressekonferenz im März nur unwirsch den Kopf und behauptete, das NAND-Mirroring würde auf Syed Farooks Telefon nicht funktionieren. Wieso die demonstrierte Methode aber auf einem Smartphone der gleichen Baureihe nicht einsatzbereit sein sollte, diese Antwort blieb der Chefermittler der Öffentlichkeit schuldig.

Es sei aber dazugesagt, dass das Projekt trotz geringer Kosten keine leichte Übung darstellt. Nachdem der NAND-Chip gefunden und herausgeschweißt wurde, hat Skorobogatov Apples Kommunikationsprotokolle reverse engineered, um auf die NAND-Inhalte zuzugreifen. Mit einer selbst gelöteten Steckverbindung baute er seinen eigenen Leser für den Speicherchip und ließ das ganze über eine speziell programmierte App laufen. Extrem zeitaufwändig, aber prinzipiell effektiv.

Wer sein iPhone bis zur 5er-Baureihe trotzdem gegenüber dieser Methode zumindest etwas effektiver schützen möchte, kann einen sechsstelligen Passcode festlegen. Unknackbar ist der zwar auch nicht, aber die Brute-Force-Methode wird dadurch deutlich zeitaufwändiger (rund 90 Tage). Beim iPhone 6 und neueren Modellen kommen bereits andere Sicherheitsfeatures zum Einsatz, mit denen Angreifer an der NAND-Mirroring-Methode scheitern würden.

Man muss sowohl Gilmore Kahn als auch Skorobogatov für ihre Dienste an der Öffentlichkeit danken: Denn die Schwachstelle dürfte nun auch Apple in aller Ausführlichkeit bekannt sein und noch einmal untermauern, was Sicherheitsforscher schon im März angemahnt hatten: Das Drängen des FBI auf eine universelle Hintertür von Seiten Apples war nur ein zäher Machtkampf um Verschlüsselung und Produktsicherheit—den Apple vorerst für sich entschieden hat. „Wir zeigen", schreibt Skorobogatov in seiner Zusammenfassung der praktischen Studie, „dass Behauptungen, nach denen das NAND Mirroring auf dem iPhone 5c nicht machbar sei, falsch sind."

Oder wie es der Sicherheitsexperte Bruce Schneier in einem Blogpost ausdrückt: „Das FBI braucht Computerexpertise und keine Hintertüren."