Bescherming door beperking: de nieuwe Lockdown Mode van Apple

De nieuwe functie van Apple belooft een betere bescherming in de strijd tegen gerichte aanvallen.

De nieuwe functie van Apple belooft een betere bescherming in de strijd tegen gerichte aanvallen.

In juli 2022 kwam Apple met de aankondiging van een nieuw soort bescherming voor zijn apparaten. De zogenaamde “Lockdown Mode” beperkt de functionaliteit van uw Apple-smartphone, -tablet of -laptop aanzienlijk. Het doel ervan is de slagingskans van gerichte aanvallen, waar onder meer politici, activisten en journalisten het slachtoffer van worden, te verlagen. De Lockdown Mode verschijnt in de aankomende releases van iOS 16 (voor smartphones), iPadOS 16 (voor tablets) en macOS 13 Ventura (voor desktops en laptops).

Voor gewone gebruikers zal deze modus waarschijnlijk meer ongemak dan voordeel opleveren. Daarom raadt Apple het alleen aan voor gebruikers die door hun activiteiten eerder te maken kunnen krijgen met gerichte aanvallen. In dit bericht analyseren we de ins en outs van de Lockdown Mode, vergelijken we de nieuwe beperkingen met de mogelijkheden van bekende exploits voor Apple-smartphones en onderzoeken we waarom deze modus, hoewel nuttig, geen wondermiddel is.

De Lockdown Mode in detail

Voor het einde van dit jaar zal, met de release van de nieuwe versies van iOS, uw Apple-smartphone of -tablet (indien relatief recent, dat wil zeggen niet ouder dan 2018) de nieuwe Lockdown Mode in zijn instellingen hebben.

Lockdown Mode-activeringsscherm op een Apple-smartphone.

Lockdown Mode-activeringsscherm op een Apple-smartphone. Bron

Na activering zal de telefoon opnieuw opstarten, en sommige kleine (maar voor sommige mensen vitale) functies zullen dan niet meer werken. Bijlagen bij iMessage worden bijvoorbeeld geblokkeerd en websites werken mogelijk niet meer goed in de browser. Het wordt voor mensen waar u nog nooit eerder contact mee hebt gehad moeilijker om u te bereiken. Al deze beperkingen zijn een poging om de toegangspunten te sluiten die het vaakst door aanvallers worden misbruikt.

Als we dieper graven, zien we dat de Lockdown Mode de volgende beperkingen op uw Apple-apparaat introduceert:

  1. In iMessage-chats kunt u alleen tekst en afbeeldingen zien die naar u zijn verzonden. Alle andere bijlages worden geblokkeerd.
  2. Sommige technologieën worden uitgeschakeld in de browsers, waaronder just-in-time compilation.
  3. Alle inkomende uitnodigingen om te communiceren via Apple-diensten zullen worden geblokkeerd. U kunt bijvoorbeeld geen FaceTime-gesprek voeren als u niet eerder met de andere gebruiker hebt gechat.
  4. Als uw smartphone vergrendeld is, zal er op geen enkele manier interactie zijn met uw computer (of andere externe apparaten die met een kabel zijn verbonden).
  5. Het zal niet mogelijk zijn om configuratieprofielen te installeren of de telefoon te registreren voor Mobile Device Management (MDM).

De eerste drie maatregelen zijn bedoeld om de meest voorkomende vectoren voor gerichte aanvallen op afstand op Apple-apparaten te beperken: een geïnfecteerde iMessage, een link naar een schadelijke website en een inkomend videogesprek.

De vierde is bedoeld om te voorkomen dat uw iPhone, indien onbeheerd achtergelaten, op een computer wordt aangesloten en dat er waardevolle informatie wordt gestolen via een kwetsbaarheid in het communicatieprotocol.

En de vijfde beperking maakt het onmogelijk om een smartphone in Lockdown Mode aan te sluiten op een MDM-systeem. Normaal gesproken gebruiken bedrijven MDM vaak voor beveiligingsdoeleinden, zoals het wissen van informatie op een zoekgeraakte telefoon. Maar deze functie kan ook worden gebruikt om gegevens te stelen, aangezien de MDM-beheerder hiermee uitgebreide controle over het apparaat krijgt.

Al met al klinkt de Lockdown Mode als een goed idee. Misschien moeten we allemaal wat ongemak accepteren om veilig te blijven?

Functies versus bugs

Laten we voordat we op deze vraag ingaan eerst beoordelen hoe radicaal de oplossing van Apple eigenlijk is. Als je erover nadenkt, is het precies het tegenovergestelde van alle gevestigde normen in de industrie. Meestal gaat het als volgt: eerst bedenkt een ontwikkelaar een nieuwe functie, rolt die uit en worstelt er vervolgens mee om de code van bugs te ontdoen. Met de Lockdown Mode stelt Apple juist voor een handvol bestaande functies op te geven ten behoeve van een betere bescherming.

Een eenvoudig (en zuiver theoretisch) voorbeeld: stel dat de maker van een messenger-app de mogelijkheid toevoegt om mooie geanimeerde emoji’s uit te wisselen, en om zelfs uw eigen emoji’s te maken. Dan blijkt dat het mogelijk is om een emoji te maken die ervoor zorgt dat de apparaten van alle ontvangers constant herstarten. Niet leuk.

Om dit te vermijden had men de functie moeten schrappen, of meer tijd moeten besteden aan een kwetsbaarheidsanalyse. Maar het was belangrijker om het product zo snel mogelijk uit te brengen en te gelde te maken. In deze strijd achter de schermen tussen veiligheid en gebruiksgemak, wint de laatste het altijd. Tot nu toe dan, want de nieuwe modus van Apple stelt veiligheid boven alles. Er is maar één woord om dat te beschrijven: cool.

Betekent dit dat iPhones zonder de Lockdown Mode onveilig zijn?

De mobiele apparaten van Apple zijn al behoorlijk veilig, wat belangrijk is in de context van deze aankondiging. Het stelen van gegevens van een iPhone is niet gemakkelijk, en Apple doet zijn uiterste best om dat ook zo te houden.

Uw biometrische gegevens voor het ontgrendelen van uw telefoon worden bijvoorbeeld alleen op het apparaat zelf opgeslagen en worden niet naar de server gestuurd. De gegevens die op uw telefoon zijn opgeslagen, worden vergrendeld. Uw pincode om de telefoon te ontgrendelen kan niet worden achterhaald via een brute force-aanval: na meerdere foute pogingen wordt het apparaat vergrendeld. Apps voor smartphones werken geïsoleerd van elkaar en hebben over het algemeen geen toegang tot gegevens die door andere apps zijn opgeslagen. Een iPhone hacken wordt elk jaar moeilijker. Voor de meeste gebruikers is dit niveau van beveiliging meer dan voldoende.

Waarom dan nog een extra beveiligingslaag?

De vraag betreft een vrij klein aantal gebruikers van wie de gegevens zo waardevol zijn dat degenen die ze willen hebben bereid zijn buitengewoon veel moeite te doen om ze te krijgen. Buitengewoon veel moeite betekent in deze context dat ze veel tijd én geld willen en kunnen uitgeven aan het ontwikkelen van complexe exploits die bekende beveiligingssystemen kunnen omzeilen. Dergelijke geavanceerde cyberaanvallen bedreigen slechts enkele tienduizenden mensen in de hele wereld.

Dit cijfer is ons bekend vanwege het Pegasus Project. In 2020 lekte een lijst uit met ongeveer 50.000 namen en telefoonnummers van personen die zouden zijn (of hadden kunnen worden) aangevallen met een door NSO Group ontwikkeld stuk spyware. Dit Israëlische bedrijf is lange tijd bekritiseerd vanwege het “legale” ontwikkelen van hackingtools voor klanten, waaronder vele inlichtingendiensten wereldwijd.

NSO Group zelf ontkende enig verband tussen hun oplossingen en de uitgelekte lijst van doelwitten, maar later doken er bewijzen op dat activisten, journalisten en politici (tot en met staatshoofden en regeringsleiders) wel degelijk waren aangevallen met de technologieën van het bedrijf. Het ontwikkelen van exploits, zelfs legaal, is een louche bezigheid die kan leiden tot het uitlekken van uiterst gevaarlijke aanvalsmethoden, die vervolgens door iedereen kunnen worden gebruikt.

Hoe geavanceerd zijn de exploits voor iOS?

De complexiteit van deze exploits kan worden beoordeeld aan de hand van een “zero-click”-aanval die het Project Zero-team van Google eind vorig jaar onderzocht. Normaal gesproken moet het slachtoffer op zijn minst op een link klikken om de malware van de aanvaller te activeren, maar “zero-click” betekent dat er geen actie van de gebruiker nodig is om het beoogde apparaat te compromitteren.

Met name in het door Project Zero beschreven geval volstaat het om een schadelijk bericht naar het slachtoffer te sturen in iMessage, dat op de meeste iPhones standaard is ingeschakeld en gewone sms’jes vervangt. Met andere woorden: het is voldoende dat een aanvaller het telefoonnummer van het slachtoffer kent en een bericht verstuurt, waarna hij of zij op afstand controle krijgt over het beoogde apparaat.

De exploit is zeer ingewikkeld. In iMessage ontvangt het slachtoffer een bestand met de GIF-extensie, dat eigenlijk helemaal geen GIF is, maar eerder een pdf-bestand dat is gecomprimeerd met behulp van een algoritme dat in het begin van de jaren 2000 vrij populair was. De telefoon van het slachtoffer probeert een preview van dit document te tonen. In de meeste gevallen wordt hiervoor de eigen code van Apple gebruikt, maar voor deze specifieke compressie wordt een programma van een derde partij gebruikt. En daarin werd een kwetsbaarheid gevonden – een niet bijzonder opmerkelijke buffer overflow-fout. Om het zo eenvoudig mogelijk te stellen: rond deze kleine kwetsbaarheid is een afzonderlijk en onafhankelijk computersysteem gebouwd, dat uiteindelijk een schadelijke code uitvoert.

Met andere woorden: de aanval maakt gebruik van een aantal niet voor de hand liggende gebreken in het systeem, die elk op zich onbeduidend lijken. Maar als die in een keten worden gecombineerd, dan is het nettoresultaat een iPhone-infectie door middel van één enkel bericht, zonder dat de gebruiker ergens op hoeft te klikken.

Dit is eerlijk gezegd niet iets wat een tienerhacker per ongeluk ergens tegenkomt. En zelfs niet wat een team van gewone malware-schrijvers zou kunnen maken: de zijn meestal op zoek naar een veel directere manier om geld te verdienen. Het moet duizenden uren en miljoenen dollars gekost hebben om zo’n geraffineerde exploit te maken.

Maar laten we een belangrijk kenmerk van de Lockdown Mode niet vergeten: bijna alle bijlagen worden geblokkeerd. Dit is juist bedoeld om zero-click-aanvallen veel moeilijker te maken, zelfs als de iOS-code wel de overeenkomstige bug bevat.

De overige functies van de Lockdown Mode zijn bedoeld om andere veelgebruikte “toegangspunten” voor gerichte aanvallen af te sluiten: de webbrowser, bekabelde verbindingen met een computer, inkomende FaceTime-gesprekken. Voor deze aanvalsvectoren bestaan al heel wat exploits, zij het niet noodzakelijkerwijs in Apple-producten.

Hoe groot is de kans dat zo’n ingewikkelde aanval tegen u persoonlijk wordt ingezet als u niet op de radar van de inlichtingendiensten staat? Die kans is bijna nul, tenzij u er per ongeluk door wordt getroffen. Daarom heeft het voor de gemiddelde gebruiker niet veel zin om de Lockdown Mode te gebruiken. Het heeft weinig nut uw telefoon of laptop minder bruikbaar te maken in ruil voor een lichte daling van de kans dat u slachtoffer wordt van een succesvolle aanval.

Lockdown alleen is niet voldoende

Aan de andere kant, voor degenen die zichwel tot de potentiële doelwitten van Pegasus en soortgelijke spyware behoren, is de nieuwe Lockdown Mode van Apple absoluut een positieve ontwikkeling, maar ook weer geen wondermiddel.

Naast (en, tot de release, in plaats van) de Lockdown Mode, hebben onze experts nog een paar andere aanbevelingen. Denk eraan: dit gaat over een situatie waarin iemand zeer machtig en zeer vastberaden op jacht is naar uw gegevens. Hier volgen een aantal tips:

  • Start uw smartphone dagelijks opnieuw op. Een iPhone-exploit maken is al moeilijk, maar die ook nog eens resistent maken tegen opnieuw opstarten, is nog veel lastiger. Door uw telefoon regelmatig uit te schakelen, geniet u nog wat extra bescherming.
  • Schakel iMessage helemaal uit. Het is onwaarschijnlijk dat Apple dit aanbeveelt, maar u kunt het zelf doen. Waarom alleen de kans op een iMessage-aanval verkleinen als u de hele dreiging in één klap kunt elimineren?
  • Open geen links. In dit geval maakt het niet eens uit wie ze stuurde. Als u echt een link moet openen, gebruik dan een aparte computer en bij voorkeur de Tor-browser, die uw gegevens verbergt.
  • Gebruik indien mogelijk een VPN om uw verkeer te maskeren. Dit maakt het tevens moeilijker om uw locatie te bepalen en gegevens over uw apparaat te verzamelen voor een toekomstige aanval.

Voor meer tips kunt u de post van Costin Raiu eens doorlezen: “Staying safe from Pegasus, Chrysaor and other APT mobile malware.”

Tips