checkra1n, unc0ver & Co.

iOS-Jailbreaks - das können Unternehmen tun

12.06.2020
Von   
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Das ging diesmal schnell: Weniger als eine Woche nach der Veröffentlichung von iOS 13.5 war bereits ein Jailbreak für alle iOS- und iPadOS-Geräte verfügbar. Dies setzt vor allem Unternehmen unter Druck, deren Mitarbeiter iPhones und iPads nutzen.

Anwender sind mit Jailbreaks in der Lage, viele der von Apple implementierten Restriktionen auf ihren Geräten zu umgehen und "fremde" funktionserweiterte Apps oder iOS-Features zu verwenden. Der Preis für dieses Mehr an Freiheit ist jedoch der Verlust diverser Schutzvorrichtungen von iOS, die Anwender beispielsweise vor Malware oder Datenschutzvergehen bewahren. Gleichzeitig stellt dies im dienstlichen Kontext ein enormes Risiko dar. Dieser Artikel zeigt die möglichen Schutzmaßnahmen für diesen und andere Jailbreaks im geschäftlichen Kontext.

Jailbreaks bieten nicht nur iOS-Nutzern zusätzliche Freiheiten, sondern öffnen auch potenziellen Angreifern Tür und Tor.
Jailbreaks bieten nicht nur iOS-Nutzern zusätzliche Freiheiten, sondern öffnen auch potenziellen Angreifern Tür und Tor.
Foto: OpturaDesign - shutterstock.com

iOS Jailbreaks waren lange nicht mehr so einfach

Aktuell geistern mit checkra1n und unc0ver gleich zwei öffentlich verfügbare Jailbreaks durch die digitale Landschaft. Der checkra1n-Jailbreak basiert auf checkm8, einem hardwarebasierten Exploit. Es gibt keine Möglichkeit für Apple, die zugrunde liegende Schwachstelle zu beheben. Dies hat zur Folge, dass er auf alle iOS-Versionen sowie sämtliche unterstützte Geräte (iPhone 5s, 6, 6 Plus, 7, 7 Plus, 8, 8 Plus, iPhone X), angewendet werden kann. Zudem funktioniert er auch mit zukünftigen Versionen von iOS und kann auch auf gesperrten und deaktivierten Geräten verwendet werden.

Der unc0ver-Jailbreak ist völlig anders. Er basiert auf Software-Exploits bis in den iOS-Kernel. Daher sind alle Gerätemodelle betroffen, auf denen die Betriebssystemversionen iOS 11.0 bis 13.5 installiert werden können (iPhone 5s bis iPhone 11 Pro Max und iPhone SE und alle iPad Modelle). Bereits mit iOS 13.5.1 ist dieser Jailbreak jedoch nicht mehr nutzbar, da die zugrundeliegenden Exploits zumindest zum Teil von Apple behoben wurden.

Jailbreaks auf Dienstgeräten erkennen

Um als Administrator einen Jailbreak zu erkennen, muss auf dem mobilen Gerät eine MDM-Client-App installiert sein. Das MDM-System erhält von dieser App Infos über die Existenz eines Jailbreaks. Wird die App weder vom Anwender noch durch das System gestartet, kann auch kein Wert ermittelt werden.

Dabei ist es wichtig zu wissen, dass die Jailbreak-Erkennung keine perfekte Wissenschaft ist. Aus diesem Grund sollten Sie zusätzlich Ihre Mitarbeiter darauf hinweisen, dass solche Praktiken ein Risiko für die Privatsphäre und auch für geschäftliche Angelegenheiten darstellen.

Stellt das MDM-System einen MDM-Client bereit, ist es für den Anwender kaum möglich, diesen (unbemerkt) zu deinstallieren. Kann jedoch das Löschen der Client-App nicht durch den Administrator per MDM-System unterbunden werden, sollten Sie eine entsprechende Regel zur Überwachung der App-Anwesenheit einrichten. Derartige Bestandsinventarisierung erfolgt bei iOS alle 24 Stunden oder auf Anforderung durch das MDM.

Gerade auf BYOD-Geräten (Bring Your Own Device) mit User Enrollment ist das Aufbringen eines MDM-Clients zur "Kontrolle" möglich, die Inventarisierung durch ein MDM wird von Apple jedoch unterbunden. Hier sollte auf eine regelmäßige Rückmeldung durch den Client geachtet werden. Auf Shared iPads, also Geräten, die von mehreren Mitarbeitern genutzt werden, lässt sich ein solcher Client auch anbringen. Hier arbeitet dieser wie auf jedem verwalteten Endgerät auch.

Wie Sie iOS-Jailbreaks vorbeugen

Es gibt eine Reihe von MDM-Policies, die ein Administrator als vorbeugende Maßnahmen gegen einen Jailbreak einsetzen kann. Die Wirksamkeit der Methoden ist jedoch eingeschränkt, insbesondere bei Geräten mit User Enrollment und ohne Supervised Mode greifen sie kaum.

Content-Filter

Eine seit iOS 7 angebotene Funktion erlaubt es, auf Geräten im Betreuungsmodus (Supervised Mode) ein Content-Filter-Profil zu verwenden, um URLs von Jailbreak-Webseiten zu verbieten. Damit wäre der Weg zum Jailbreak des Geräts über das Sideloading (z.B. via AltStore) versperrt.

Im Konfigurationsprofil kann der Administrator die URLs von Jailbreak-Websites sperren.
Im Konfigurationsprofil kann der Administrator die URLs von Jailbreak-Websites sperren.
Foto: Mark Zimmermann

Auf Geräten mit User Enrollment und allen Geräten ohne Betreuungsmodus steht diese Option allerdings nicht zur Verfügung.

App-Filter

Analog der Filterung von Webseiten können auch einzelne Apps (z.B, Cydia, Silo, AltStore) per Bundle Identifier verboten werden. Auf Geräten mit User Enrollment und allen Devices ohne Betreuungsmodus steht diese Option allerdings nicht zur Verfügung.

App-Quellen reglementieren

Das Ausführen von Apps, die nicht über den AppStore oder das MDM-System kommen, sollte unterbunden werden.

Foto: Mark Zimmermann

Auf Geräten mit User Enrollment und allen Geräten ohne Betreuungsmodus steht diese Option allerdings nicht zur Verfügung.

Third-Party-Profile

Erlauben Sie keinem Gerät, sich mithilfe anderer Konfigurationsprofile konfigurieren zu lassen.

Foto: Mark Zimmermann

Auch diese Einstellung ist nur auf Geräten im Betreuungsmodus möglich.

USB-Zugriff sperren

Der Datenzugriff per USB kann per MDM-System für DEP-Geräte (Device Enrollment Program) unterbunden werden. Bei Geräten, die USB-Zugriff nicht zwingend benötigen (z.B. für den Transfer von Fotos), sollte dieser deaktiviert werden.

Foto: Mark Zimmermann

Auf Geräten mit User Enrollment und allen Geräten ohne Betreuungsmodus steht diese Option allerdings nicht zur Verfügung.

PIN- und Passwort-Schutz

Die erste Abwehrlinie für jedes mobile Gerät ist allerdings weiterhin ein Passwortschutz. Setzt man diesen mittels MDM durch, wird es zumindest Außentätern erschwert, einen Jailbreak bei einem beruflich genutzten Device vorzunehmen.

Foto: Mark Zimmermann

Diese Einstellungen sind auf BYOD-Geräten, die per User Enrollment angebunden werden, allerdings nicht in der gleichen Komplexität umsetzbar. Hier kann lediglich ein PIN-Code eingefordert werden. Die Komplexität gibt Apple mit einer sechsstelligen Zahl an. Alphanumerische Kennwörter sind hier nicht möglich.

iOS-Version aktualisieren

Viele MDM-Systeme bieten unterschiedliche Mechanismen an, ein iOS-Update automatisiert zu laden und/oder einzuspielen. Gerade iOS 13.5 brachte uns den unc0ver Jailbreak, der für jedes Gerät - per Sideloading App - nutzbar ist. Unterbinden Sie derartige Schwachstellen, indem Sie sich vor der automatischen Installation über bevorstehende Updates und die Erfahrungen anderer Anwender damit informieren. So sind Sie in der Lage, (zumindest mit Blick auf unc0ver) problematische iOS-Updates wie z.B. iOS 13.5 zu unterbinden, beziehungsweise schnell das Aufspielen von wichtigen Updates (z.B. iOS 13.5.1) zu erzwingen.

Foto: Mark Zimmermann

Auf Geräten mit User Enrollment und allen Geräten ohne Betreuungsmodus steht diese Option allerdings nicht zur Verfügung.

Gerätestrategie anpassen

Von Checkm8 sind insgesamt elf iPhone-Generationen betroffen, angefangen vom iPhone 4S bis hin zum iPhone X. Bei den iPads sieht es ähnlich verheerend aus. Wer sich hier - nach heutigem Wissensstand - nachhaltig absichern möchte, muss über einen Austausch seiner Geräteflotte nachdenken.

Wie Sie mit Sicherheitsvorfällen umgehen

Auch bei einem Jailbreak muss immer der Schutz der vertraulichen Daten im Vordergrund stehen. Geräte ferngesteuert zu sperren oder gar zu löschen, sollte daher gut abgewogen und mit dem Risiko eines unwiederbringlichen Datenverlustes in Relation gesetzt werden.

Ohnehin sollten Konfigurationsprotokolle und Sicherheitseinstellungen regelmäßig überprüft werden. Hierbei gilt es insbesondere, die Vorgaben eines Mindeststandards zu prüfen: Sind die Konfigurationsprotokolle und Sicherheitseinstellungen weiterhin wirksam und ausreichend? Abweichungen müssen - automatisiert oder manuell - durch den Administrator korrigiert werden. Außerdem ist es wichtig, dass der Administrator die vom MDM erzeugten Protokolle auch regelmäßig auf ungewöhnliche Einträge überprüft.

Bietet ein MDM-System entsprechende automatisierte Regeln zur Überwachung an, sollten Anwender und verantwortliche Administratoren informiert werden, wenn ein Gerät kompromittiert wurde. Das Gerät sollte, je nachdem, mit welchen Daten es in Berührung kommt, nicht direkt gelöscht werden. Setzen Sie vielmehr auf Eskalationsregeln für Kompromittierungsverstöße. So sind MDM-Systeme teilweise in der Lage, den Zugriff des Device auf Unternehmensressourcen abzuklemmen, bis die Kompromittierung beseitigt ist. So ist es etwa möglich, eine E-Mail an den Anwender zu senden und das VPN-Profil auf dem betroffenen Gerät zu entfernen.

Für den Umgang mit Sicherheitsvorfällen muss aber auch dann ein angemessener Prozess etabliert sein, wenn es sich um den Verlust eines mobilen Endgerätes handelt. Dieser Fall tritt statistisch häufiger auf als der Verlust der Integrität des mobilen Endgerätes durch einen Jailbreak.

iOS-Jailbreaks - Bedrohung vs. Chance

Jailbreaks sind ein Geschwür im iOS-Ökosystem - aber gleichzeitig auch eine Chance. Einige Funktionen hielten erst über Jailbreak Tweaks Einzug in das "normale" iOS und ermöglichten es den Entwicklern, wesentlich tiefgehender mit iOS zu interagieren. Neben der offensichtlichen Bedrohung durch kriminelle Aktivitäten gibt es tatsächlich einige positive Einsatzmöglichkeiten von Jailbreaks.

Gerade checkm8 ist für Sicherheitsforscher ein großer Segen, da sie mit dessen Hilfe jede iOS-Version analysieren können, die auf einem iPhone X oder älter ausgeführt wird. Da iOS-Untersuchungen auf einem Gerät, auf dem die Sicherheitsbeschränkungen nicht aufgehoben wurden, nicht durchgeführt werden können, wird checkm8 wahrscheinlich zu einem der wichtigsten Werkzeuge für die Forscher.

Bedenklich ist allerdings auf der anderen Seite, wie gering die Möglichkeiten für Unternehmen sind, BYOD-Geräte (User Enrollment) und damit auch die darauf befindlichen Firmendaten vor einem Jailbreak zu schützen. (mb/fm)