Wer Sicherheitsforschung an iOS-Geräten betreiben will, ist im Allgemeinen auf teure Nachbauten angewiesen. Apple verwendet für hardwarenahe Analyse ein Spezialkabel namens Kanzi. Außerhalb des Konzerns gibt es dieses Werkzeug aber nirgendwo zu erwerben. Lediglich die Firma LambdaConcept bot einen selbst entwickelten Nachbau für 749 € unter dem Namen "Bonobo" an – und der ist nun schon länger ausverkauft.


Das Fehlen eines verfügbaren Analysetools motivierte den Sicherheitsforscher Thomas Roth, ein eigenes System für die Erforschung von iOS-Geräten zu entwickeln. Auf dem 37. Chaos Communication Congress zeichnete er in einem gut halbstündigen Vortrag die Reise zu einem eigenständigen USB-C-Hardware-Debug-Tool nach.

Lightning simulieren mit Raspberry Pi pico
Er begann mit einem wenige Euro teuren Microcontroller-Board, dem Raspberry Pi Pico. Dies klemmte er zwischen USB- und Lightning-Anschluss, um die Aufgabe des proprietären Lightning-Controller-Chips zu übernehmen. Dank einer Code-Schwachstelle namens Checkm8 gelang es ihm, iPhones der Serien 7 bis X in einen Modus zu versetzen, bei dem sie Debug-Protokolle über dieses Kabel ausgeben. Die Pico-Firmware nebst Lötplan veröffentlichte er unter dem Namen Tamarin auf GitHub.

USB-C als neue Herausforderung
Mit dem iPhone 15 wechselt Apple auf den USB-C-Standard, was Roths Forschungsinteresse erneut weckte. Dabei konnte er auf die öffentlich zugänglichen Entdeckungen anderer Teams bauen. So hat etwa das Asahi-Linux-Team mit dem macvdmtool eine Möglichkeit geschaffen, die Power-Delivery-Kommunikation zwischen zwei Macs auszulesen. Nach einigen Irrwegen, einer Menge Herumprobiererei und etwas Platinendesign entwickelte er schließlich eine Platine namens Tamarin-C. Sie bietet ein Grundgerüst fürs Auslesen von Debugging-Informationen via USB-C und liefert gleichzeitig Strom an das iPhone 15. Aktuell funktioniert der Ausleseprozess nur sporadisch und liefert auch nicht alles, was sich Thomas Roth erhofft hat. Aber dies sei ein wichtiger Meilenstein, um weiterzuforschen. Das Platinendesign und die dazugehörige Firmware veröffentlichte er auf der Code-Plattform GitHub.


Schwachstelle entdeckt – aber nicht am iPhone 15
Bei seinen Forschungen stieß Roth, der unter dem Namen stacksmashing einen YouTube-Kanal betreibt, auf eine undokumentierte Sicherheitslücke. Diese könne er allerdings nicht offenlegen, da er sie erst über Weihnachten über Responsible Disclosure an Apple gemeldet hatte, erklärte er in seinem immens informationsreichen 37C3-Vortrag. Das Verfahren gibt Herstellern 90 Tage Zeit, eine Lücke zu schließen, bevor Entdecker mit den Details an die Öffentlichkeit gehen. Allerdings beträfe diese Lücke nicht das iPhone, sondern ein anderes, über USB-C anschließbares Gerät. In spätestens zweieinhalb Monaten werden wir also wieder etwas von Thomas Roth hören.