> > > > Secure Enclave von Apples SoC womöglich mit zahlreichen Sicherheitslücken

Secure Enclave von Apples SoC womöglich mit zahlreichen Sicherheitslücken

DruckenE-Mail
Erstellt am: von

iphone6sMit der Entwicklung der eigenen SoCs konnte Apple auch eine eigene Sicherheitsinfrastruktur auf den Weg bringen. Die Secure Enclave ist dabei ein besonders wichtiger Bestandteil, denn hier werden sicherheitsrelevante Daten abgelegt bzw. über diese verschlüsselt. Durch fest eingebrannte Keys und echte Zufallsgeneratoren stellt Apple über die Secure Enclave sicher, dass wichtige Daten auf dem iPhone und iPad auch sicher sind und kein Zugriff von Außen darauf möglich ist.

Alle iPhones und iPads mit einem Apple A7 oder später verfügen über die Secure Enclave, eine bestimmte Sicherheitsebene in der Architektur von Hard- und Software, die es erschweren soll an die Daten auf einem iPhone zu gelangen und die überhaupt erst einen ausreichenden Schutz ermöglicht. Auf späteren iPhones stellt die Secure Enclave z.B. sicher, dass nur autorisierte Software auf dem iPhone ausgeführt werden kann. Apple speichert darauf auch wichtige Daten wie die von Kreditkarten oder aber den Fingerabdruck für Touch ID. Auf die Sicherheitsaspekte im Zusammenspiel mit der Secure Enclave geht Apple in einem Support-Dokument genauer ein.

Logicboard mit A9-Prozessor von Apple auf dem iPhone 6s
Logicboard mit A9-Prozessor von Apple auf dem iPhone 6s

Apple hat bisher recht wenige Informationen zur Secure Enclave veröffentlicht, da jede Information potenziell auch ein Angriffsvektor sein könnte. Es ist daher auch nicht verwunderlich, dass sich Sicherheitsforscher daran gemacht haben, die Secure Enclave von allen Seiten aus abzuklopfen und eventuelle Sicherheitslücken offenzulegen. Auf der Blackhat in den USA haben drei Forscher nun potenzielle Schwachstellen erläutert und geben sogar eine Anleitung, wie diese auszunutzen sind. Die dazugehörige Präsentation ist als PDF verfügbar.

Bei der Secure Enclave handelt es sich um eine Kombination aus Hard- und Software. Die Hardware besteht dabei offenbar aus einem eigenen Rechenkern. Dieser basiert auf dem ARM v7A Kingfisher Kern und arbeitet mit 300 - 400 MHz. Auf den A-SoCs von Apple befinden sich noch einige weitere solcher Kerne, die sich beispielsweise um die I/O-Ports oder die Anbindung des Speichers kümmern. Der Kingfisher-Kern der Secure Enclave kommuniziert über eine Secure Mailbox mit dem restlichen System, besitzt dedizierten Speicher, kann aber auch auf den Systemspeicher zugreifen, auf den der komplette A-SoC grundsätzlich Zugriff hat.

Key-Hirarchie in der Secure Enclave
Key-Hirarchie in der Secure Enclave

Da uns nur die Präsentation vorliegt und wir auch keine Experten für Sicherheitsarchitekturen unter uns haben, bleibt uns nur ein Blick auf das Fazit der Präsentation. Demnach bieten sowohl die Software der Secure Enclave wie auch die Hardware (der Secure Enclave Processor oder SEP) einige Angriffs-Vektoren. Es gibt wohl gleich mehrere potenzielle Wege: Über physikalischen Speicherzugriff auf Prozessor selbst, über ein Überlaufen des Speichers durch bestimmte Maßnahmen oder aber durch die Tatsache, dass es trotz eng gesteckter Privilegien unterschiedlicher Prozesse die Möglichkeit gibt, dass diese Daten einsehen können, auf die sie eigentlich keinen Zugriff haben sollten.

Laut den Machern der Studie ist die Secure Enclave aber noch immer die sicherste Möglichkeit in diesem Bereich und technisch "um Lichtjahre der Konkurrenz voraus". Punkte wie "Hardware Filter, Inline Encrypted RAM" und ein "generally small attack surface" seien positiv zu beurteilen. Auf der negativen Seite aber stünden Punkte wie "shared PMGR and PLL are open attack to attacks" oder "inclusion of the fuse source pin should be re-evaluated".

Wir warten noch eine konkrete Auswertung der Erkenntnisse durch Personen ab, die sich etwas besser mit dem Thema auskennen, um das Gefahrenpotenzial besser einschätzen zu können.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (10)

#1
customavatars/avatar24005_1.gif
Registriert seit: 17.06.2005

Oberbootsmann
Beiträge: 906
Zitat
Laut den Machern der Studie ist die Secure Enclave aber noch immer die sicherste Möglichkeit in diesem Bereich und technisch "um Lichtjahre der Konkurrenz voraus".


Das ist für mich eigentlich der interessantere Teil der News, denn es gibt kein Computer-System, welches zu 100% sicher ist.

Das iPhone hat andere Probleme. Der fehlende mSD-Karten Slot z.B. macht es für mich unbrauchbar, genauso wie der nicht zu wechselnde Akku.
#2
Registriert seit: 24.05.2012
Ilmenau
Kapitänleutnant
Beiträge: 1985
Ja ist ja nix neues, heißt ja deshalb auch gerne "Der goldene Käfig".

Die Apple-Systeme sind sehr durchdacht und sicher im Vergleich zu Konkurrenz, aber sie lassen dem Nutzer halt auch spürbar weniger Freiraum.
iOS kann viele grundlegende Dinge nicht, wie den schon erwähnten mSD-Slot, normaler Dateizugriff (Eine mp3 im Netz laden und in der Musikapp hören ist nach wie vor nicht möglich) oder auch andere einfach Dinge wie haptisches Feedback.
Mag für viele egal sein, aber gerade Power-User verlangen meist doch etwas mehr als die Basics, gerade bei den Gerätepreisen jenseits der 500€.

Aber nichtsdestotrotz finde ich viele Hard- und Softwarelösungen von Apple sehr beeindruckend. Seien es die Retina-Displays oder der NVMe-Speicher im iPhone 6S. Da lässt man sich nicht lumpen.
#3
Registriert seit: 10.12.2009
Schweiz
Kapitän zur See
Beiträge: 3814
Zitat jrs77;24848751

Das iPhone hat andere Probleme. Der fehlende mSD-Karten Slot z.B. macht es für mich unbrauchbar, genauso wie der nicht zu wechselnde Akku.


128GB interner Speicher sind jeder mSD vorzuziehen aufgrund der viel besseren Performance und Haltbarkeit.
Ich finde es erbärmlich, dass man selbst bei Android Flagschiffen oft nur 32-64GB Speicher bekommt. Den Aufpreis zu 128/256GB internem Speicher ist locker verkraftbar.
#4
Registriert seit: 24.05.2012
Ilmenau
Kapitänleutnant
Beiträge: 1985
Zitat blubb0r87;24848781
128GB interner Speicher sind jeder mSD vorzuziehen aufgrund der viel besseren Performance und Haltbarkeit.
Ich finde es erbärmlich, dass man selbst bei Android Flagschiffen oft nur 32-64GB Speicher bekommt. Den Aufpreis zu 128/256GB internem Speicher ist locker verkraftbar.


Mag sein, aber die Aufpreise für mehr Speicher sind bei Apple einfach nur dreist. Da finde ich 32GB+mSD-Slot wesentlich kundenfreundlicher. Bei Apple zahl ich ja für 48GB mehr Speicher mal eben 100€, während 64GB als mSD gerade mal knapp 20€ kosten.
Vorallem ist die Performance bei normalen Massendaten wie Musik und Fotos ziemlich egal. Die wenigsten werden mehr als 32GB mit Apps vollknallen.
#5
customavatars/avatar18241_1.gif
Registriert seit: 21.01.2005

Flottillenadmiral
Beiträge: 5843
Zitat jrs77;24848751
Das ist für mich eigentlich der interessantere Teil der News, denn es gibt kein Computer-System, welches zu 100% sicher ist.

Das iPhone hat andere Probleme. Der fehlende mSD-Karten Slot z.B. macht es für mich unbrauchbar, genauso wie der nicht zu wechselnde Akku.


mSD slot kann ich verstehen aber wechsel Akku wozu giebt doch powerbanks mit 3 bis 5 mal mehr saft als der org. Akku.

Viel mehr stört mich das Linux phones nur eine Randerscheinung sind. Es müssen Alternativen zu iOS und Android her.
Ein one+ mit Linux hätte was.

MfG
#6
Registriert seit: 20.12.2003
Karlsruhe
Fregattenkapitän
Beiträge: 2567
Android Smartphones = Linux Smartphone

Gesendet von meinem A0001 mit der Hardwareluxx App
#7
Registriert seit: 30.04.2008
Civitas Tautensium, Agri Decumates
Bootsmann
Beiträge: 668
Zitat Don;24847220
Wir warten noch eine konkrete Auswertung der Erkenntnisse durch Personen ab, die sich etwas besser mit dem Thema auskennen, um das Gefahrenpotenzial besser einschätzen zu können.


"Attacking SEP
Assumes that an attacker already has obtained AP kernel level privileges"

Gähnnn :coffee:
#8
Registriert seit: 24.05.2012
Ilmenau
Kapitänleutnant
Beiträge: 1985
Zitat smilling_bandit;24848935
mSD slot kann ich verstehen aber wechsel Akku wozu giebt doch powerbanks mit 3 bis 5 mal mehr saft als der org. Akku.

Viel mehr stört mich das Linux phones nur eine Randerscheinung sind. Es müssen Alternativen zu iOS und Android her.
Ein one+ mit Linux hätte was.

MfG


Im Prinzip hast du Recht. Fürs Laufzeitverlängern finde ich es auch etwas unnötig, da immer den Akku zu wechseln. Aber es geht den meisten wohl eher um die Haltbarkeit. Klar gibt's Akkus die locker 3-4 Jahre halten aber manche sind halt auch nach fast 2 Jahren schon gut durch und was machst du dann mit deinem teueren Briefbeschwerer?
Wechselt ja nicht jeder jährlich sein Handy.

Aber eigentlich ist das hier ja extrem OT, von demher.
#9
customavatars/avatar18241_1.gif
Registriert seit: 21.01.2005

Flottillenadmiral
Beiträge: 5843
Zitat Sir Diablo;24849354
Android Smartphones = Linux Smartphone

Gesendet von meinem A0001 mit der Hardwareluxx App


Träum weiter, android mag auf linux basieren da hat aber Google beide Hände tief drin stecken.
Mit ubuntu mobile giebts 2(?) smartphones auf dem Markt.

Und du wirst lachen aber es giebt ein Projekt Linux auf das one+3 zu bringen. Zwar nur inoffiziel und fürs one+1 hats schon nicht geklappt.

MfG
#10
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9490
Du willst Linux, ein OS das sich wegen Laien-Untauglichkeit schon für PCs in keiner Weise beim Enduser gegen Windows durchsetzen kann (nicht mal gegen win 8), auf ein smartphone bringen und iOs und Android gegenüberstellen?!
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Core i7-6950X im Test: Dicker Motor, alte Karosse

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/6950X/6950X-LOGO

Intels letzter CPU-Launch ist schon eine Weile her - Ende Oktober 2015 testeten wir den Xeon E5-1230v5 auf Skylake-Basis, seitdem war zumindest im Desktop-Bereich nichts neues mehr vom Marktführer zu hören. Am heutigen Tag aktualisiert Intel endlich die High-End-Plattform und bringt mit dem Core... [mehr]

So schnell ist Kaby Lake: Erste eigene Benchmarks zum i7-7500U

Logo von IMAGES/STORIES/REVIEW_TEASER/INTEL_KABY_LAKE

Offiziell vorgestellt hat Intel die 7. Generation der Core-Prozessoren bereits Ende August, doch erst jetzt ist Kaby Lake in Form des ersten Notebooks verfüg- und damit testbar. Dabei handelt es sich um das Medion Akoya S3409 MD60226, in dem ein Core i7-7500U verbaut wird. Während das Notebook... [mehr]

Intel 'Kaby Lake': Die siebte Core-Generation im Detail vorgestellt

Logo von IMAGES/STORIES/LOGOS-2016/INTEL_7TH_CORE_GEN

Im Zuge der kommenden "Kaby Lake"-Plattform, deren breite Verfügbarkeit für das erste Quartal 2017 erwartet wird, nutzt Intel heute die Gelegenheit, die siebte Core-Generation offiziell im Detail vorzustellen und bereits ein paar Prozessoren auf den Markt zu bringen. Wir konnten uns bereits vor... [mehr]

Delid Die Mate im Test

Logo von IMAGES/STORIES/IMAGES/STORIES/GALLERIES/REVIEWS/2016/DDM/DDM

Seit der Ivy-Bridge-Generation verlötet Intel Die und Heatspreader nicht mehr miteinander, was leider in deutlich schlechteren Kern-Temperaturen resultiert. Abhilfe dagegen schafft nur das Delidding (das sogenannte „Köpfen“) der CPU sowie der anschließende Austausch der Wärmeleitpaste durch... [mehr]

Intel Core i7-7700K (Kaby Lake) nun ebenfalls in Benchmark gesichtet

Logo von IMAGES/STORIES/LOGOS-2015/INTEL3

Mittlerweile sind die ersten Benchmarks zum kommenden Intel Core i7-7700K (Kaby Lake) aufgetaucht und ergänzen damit die Werte zum Core i7-7500U. Die Ergebnisse wirken durchaus sehr glaubhaft, denn sie sind in der offiziellen Datenbank von Geekbench 4 zu finden. Getestet wurde der neue Prozessor... [mehr]

AMD nennt architektonische Details zu Zen - Summit Ridge mit Broadwell-E...

Logo von IMAGES/STORIES/LOGOS-2016/AMD-ZEN

Alle Journalisten, die von Intel auf das IDF eingeladen wurden, bekamen von AMD eine Einladung für ein eigenes Event im Hotel gegenüber. Also machte sich der Tross auf den Weg, um in einer Pressekonferenz neue Details über AMDs kommende Zen-Architektur und die Prozessoren zu erfahren. Erstmals... [mehr]