Dieser Artikel enthält folgende drei Themen, wobei ich grob draufeingehen werde:
- iCloud Bypass
- Passcode Bypass
- MDM Bypass
- Allgemeines zu „Find my“
Ich empfehle dir mindestens den ersten Punkt gelesen zu haben, um alles grundlegende verstanden zu haben. Am besten ist aber, du nimmst dir kurz die 10min und liest es dir einmal komplett durch.
Los geht’s!
1. iCloud Bypass
Was ist ein iCloud-Bypass? (Bezogen auf Checkm8-Geräte)
Ein iCloud-Bypass ist der Vorgang, um die Aktivierung auf iOS-Geräten zu entfernen oder zu bearbeiten. Je nach Gerätemodell und in Abhängigkeit von der iOS-Version kann ein iCloud-Bypass entweder direkt durch das löschen des Verzeichnisses „setup.app“ aus dem Stammdateisystem oder indirekt durch ändern vorhandener Aktivierungsdaten oder durch Einflüsse von gefälschten Aktivierungsdatensätzen erfolgen.
Alle aktuellen Bypass-Methoden funktionieren dank des extrem leistungsfähigen, nicht patchbaren Bootrom-Exploits „checkm8“ (gesprochen: Checkmate). Mit diesem Exploit kann eine SSH-Verbindung aufgebaut werden, um das Stammdateisystem von iOS-Geräten über SSH ändern zu können. Zu den bekanntesten Plattformen, die diesen Exploit verwenden und die auch für einen iCloud-Bypass genutzt werden, sind der checkra1n und palera1n Jailbreak, sowie ipwndfu oder checkm8-a5.
Das Ziel bei der direkten Methode ist es, eine Situation zu schaffen, in der das Gerät kein Setup hat und daher keine andere Wahl hat, als das Springboard, den sogenannten Homescreen zu laden. Das Setup ist der sogenannte Einrichtungsassistant, der im Dateisystem als „setup.app“ bezeichnet wird.
Das Ziel bei der indirekten Methode ist anders, anstatt die setup.app durch löschen zu entfernen, wird dem Gerät vorgetäuscht, dass es gültige Aktivierungsdatensätze hat. Dadurch lässt dich das Gerät aktivieren, da es sehr schwierig ist, gefälschte Aktivierungsdaten von legitim generierten Aktivierungsdatensätzen zu unterscheiden.
Das Problem bei der Methode mit den gefälschten Aktivierungsdatensätzen ist aber, dass diese im August 2024 gepacht wurde und es selbst nicht mehr möglich ist, eigene Aktivierungsdatensätze zu generieren. Dennoch gibt es noch eine Möglichkeit wie dies immer noch funktioniert. Über den checkm8-Exploit ist es auch möglich seine Seriennummer zu ändern und auf die SysCFG zuzugreifen.
Wenn bei dieser Methode noch zusätzlich seine Seriennummer auf eine Standardisierte vom Tool geändert wird, funktioniert diese Methode immer noch. Dies ist der Fall, da es für diese Seriennummer (noch) gültige Aktivierungsdatensätze gibt. Es wird also die Seriennummer des iOS-Gerätes geändert, wodurch es für die neue Seriennummer gültige Aktivierungsdatensätze gibt, und das iOS-Gerät dennoch mit dieser Methode aktiviert werden kann.
Das Problem bei dieser Methode ist dennoch, wie gesagt, dass man seine Seriennummer ändern muss. Das Problem hierbei ist, dass A5- und A9-Geräte bestimmte Herausforderungen mit sich bringen, was den Eintritt in den Diagnosticmode, auch „Purple Mode“ genannt erschwert, da ohne Hilfsmittel nicht der pwnDFU ausgeführt werden kann. Der pwnDFU wird auch über den checkm8-Exploit im DFU Modus (Nicht Recovery-Modus) ausgeführt. Der pwnDFU ermöglicht es dann aus dem DFU-Modus, nicht vertrauenswürdige Boot-Images zu booten. Dies kann z.B. eine Ramdisk sein, um eine SSH Verbindung herstellen zu können, oder um eben in den „Purple Mode“ zu booten.
Die Voraussetzung bei A5- und A9-Geräten ist, dass dort spezielle „Tools“ zum debuggen benötigt werden, um wiegesagt den pwmDFU auszuführen. Bei A5-Geräten, wie z.B. dem iPhone 4s und iPad 2 benötigt man zusätzlich einen Arduino UNO mit dem USB Host Shield. Bei A9-Geräten, wie dem iPhone 6s, SE 1 und iPad 5 benötigt man ein DCSD-Kabel zum Debuggen.
Ich habe aber gehört, was ich bisher noch nicht wirklich bestätigen konnte ist, dass es angeblich irgendwie möglich sei, ein iOS-Gerät als iPad zu aktivieren. Bei dieser Methode bräuchte man auch nach dem Apple-Patch seine Seriennummer nicht zu ändern, ich weiß aber nicht genau wie diese Methode funktioniert.
Was ist ein iCloud-Bypass (Bezogen auf A12+ Geräte)
Ein sogenannter iCloud A12+ Bypass ist ein Bypass, wie es der Name schon sagt, auf Geräten mit A12 Chip oder neuer funktionieren soll.
Solch ein Bypass galt vor langer Zeit immer als unmöglich, da es keinen Exploit gab. Am 18. Januar 2024 hatte jedoch das iRemoval Pro Team eine Software veröffentlicht, die erstmalig einen iCloud-Bypass auf Geräten, der neuer als dem iPhone XR funktionierte. Dies funktionierte anfangs nur bis iOS 16.6.1. Ich vermute, dass hier zur Hilfe der Dopamine-Jailbreak oder der dazugehörige KFD-Exploit genutzt wurde. Später fand der Entwickler „Minacriss“ noch einen Weg dies sogar damals unter dem neusten iOS 17 durchzuführen.
Falls du dich jetzt fragen solltest, warum ich dies in der Vergangenheit geschrieben habe, liegt es einfach daran, dass dies Vergangenheit ist 😉 und „gepacht“ wurde.
Mit gepacht meine ich, dass nicht wirklich ein Exploit gepacht wurde, sondern der sogenannte „Batch“. Lass mich kurz erklären was der Batch ist.
Um die A12+ Bypass-Software nutzen zu können, musste zuerst sein Gerät mit der Software auf Kompatibilität geprüft werden, dann war es möglich online eine Bestellung für seine Seriennummer aufzugeben. Nachdem man seine Bestellung aufgeben hat, musste eine Zeit von wenigen Tagen bis hin zu Wochen gewartete werden, dies lag daran, dass der Batch solange gedauert hat. Was genau beim Batch exakt passiert ist, weiß ich nicht zu 100%. Was aber Tatsache ist, dass der Batch für die Aktivierungsdaten verantwortlich ist und, dass er auf „Factory Activation“ basiert.
Da die Aktivierungsdaten für jedes iOS-Gerät individuell sind, stammen diese mit sehr hoher Wahrscheinlichkeit aus Apples Werken, wahrscheinlich Foxconn, wo normalerweise Mitarbeiter in der Fabrik die Möglichkeit haben iOS-Geräte vor Ort für ein paar Stunden mit der Factory Activation testen zu können.
Es war aber so, dass bei Foxconn Mitarbeiter die Aktivierungsdaten von Apples internen Servern runtergeladen haben müssen und diese Daten nach außen weitergeben haben. Dies haben sie mit höchster Wahrscheinlichkeit getan, da sie dafür bezahlt wurden. Apple hat dies aber irgendwann mitbekommen und konnte wahrscheinlich die verantwortlichen Mitarbeiter dafür ausfindig machen und diese wurden verhaftet. Jedenfalls zeigt das dieser Bericht, den man durch einfaches Googlen findet. Entweder ist es nur Zufall, dass dieser Bericht etwa zur selben Zeit aufgetaucht ist, als es auch keine Batches mehr gab, oder es wurden tatsächlich die verantwortlichen Mitarbeiter dafür verhaftet, denn Apple hat für sowas absolut null Toleranz.
Der Batch ist/war also ziemlich kompliziert und kein wirklicher Exploit in iOS. Die Software, die diesen Prozess hingegen gemacht hat, funktioniert einfacher, diese hat einfach mit einem Exploit die Aktivierungsdaten auf das iOS-Gerät gepackt.
Der Exploit, der dies ermöglicht hatte, wurde aber dennoch in iOS 18.1 gepacht, da er selbst von den ursprünglichen Entwicklern IFPDZ (iRemoval Pro) und MinaChriss an Apple gemeldet wurde, da Minacriss selbst angeblich einen Backup-Exploit hat.
Stand jetzt ist aber A12+ komplett down.
Über die Sicherheit in iOS 18.1. Quelle: https://apple.com
2. Passcode Bypass
Beim Passcode-Bypass handelt es sich an sich um einen normalen Hello-iCloud-Bypass, mit dem einzigen Unterschied, dass bei diesem Bypass die SIM funktionieren wird.
Im Gegensatz zum normalen iCloud-Bypass werden beim Passcode-Bypass vorher die Aktivierungsdatensätze auf dem iPhone über den checkm8-Exploit extrahiert, da das iOS-Gerät derzeit aktiviert ist und somit noch auf dem Gerät gültige Aktivierungsdaten gespeichert sind. Diese werden also extrahiert und anschließend wird das iOS-Gerät normal wiederhergestellt, sodass es beim Hello-Screen landet. Wenn jetzt „Find my iPhone“ (FMI)** auf dem iOS-Gerät aktiviert ist, wird das Gerät bei der Aktivierungssperre hängen bleiben.
Im nächsten Schritt werden dann einfach die Aktivierungsdaten, die vorher gesichert wurden, auf dem iOS-Gerät wiederhergestellt, dadurch kann das Gerät mit Funktion der SIM aktiviert werden.
**Genaue Erläuterung was genau und wie FMI funktioniert, findest du am Ende.
Beim Passcode-Bypass werden also alle Daten auf dem iOS-Gerät gelöscht. Es gibt aber jedoch auch eine Möglichkeit auf sehr alten iOS-Geräten den Passcode mithilfe von Brute-Forcing ausfindig zu machen.
Dies funktioniert so, dass das iOS-Gerät in eine Ramdisk, z.B. mithilfe von Sliver gebootet wird, um SSH-Zugriff auf das iOS-Gerät zu erhalten, dann muss das Dateisystem gemountet werden und man kann Zugriff auf das Verzeichnis „mnt2“ bekommen, dann kann in diesem Ordner das Verzeichnis „mobile\library\Preferences“ gefunden werden und die .plist Datei „com.apple.springboard.plist kann bearbeitet werden. Um im nächsten Schritt unendlich Passcode-Versuche zu bekommen, muss der Wert „SBDeviceLockFailedAttemts“ auf -9999 geändert werden. Dadurch erhält man 9.999 Passcode-Versuche und es ist möglich den Passcode zu Brute-Forcen.
Allerdings funktioniert diese Methode nur auf wirklich sehr alten iPhone Modellen, genaugenommen vom iPhone 4 bis 5c. Auf neueren iOS-Geräten funktioniert diese Methode nicht. Angeblich kann aber Software wie Passware bis zum iPhone 7 Brute-Forcen. Lizenzen für diese Software sind aber sehr teuer und es lohnt sich für den Eigenbedarf nicht. Wie genau aber andere Software sogar neuere iOS-Geräte, wie bis zum iPhone 7 oder X, höheres dürfte technisch nicht möglich sein, Brute Forcen kann, ist nicht bekannt. Software wie Passware nutzen wahrscheinlich einen SEP-Exploit wie „Blackbird“, um dies möglich zu machen.
3. MDM Bypass
Der MDM-Bypass auf iOS-Geräten ist bisher das einfachste und diese kann sogar ohne einem leistungsfähigen Bootroom-Exploit wie checkm8 umgangen werden.
Dies funktioniert somit auf jedem iOS-Gerät und jeder iOS-Version, auch auf dem neusten iPhone 16.
4. Allgemeines zu "Find my"
Die iCloud Aktivierungssperre wird durch Apples iCloud Funktion „Find my iPhone“, abgekürzt „FMI“ verursacht. Diese Funktion ist standartmäßig auf jedem iOS-Gerät mit einem Apple-Account aktiviert, könnte aber jedoch in den iCloud-Einstellungen auch deaktiviert werden.
Diese Funktion beinhaltet auch die Aktivierungssperre. Wenn also ein iOS-Gerät mit einem verknüpften Apple-Account wiederhergestellt bzw. zurückgesetzt wird, erscheint dann beim einrichten die iCloud-Aktivierungssperre.
Nur der Besitzer mit der Eingabe seiner Apple-Account-Daten kann diese Sperre entfernen. Der Besitzer kann mit seinen Apple-Account auch den Standort des iOS-Gerätes abrufen.
Dies ist auch der Fall, wenn das iOS-Gerät „gebypassed“ wurde, denn ein Bypass entfernt keine Sperre komplett, sondern umgeht diese nur. Ein komplettes Entfernen, wie viele behaupten, in der Regel Scammer, ist nicht möglich, da man dafür Zugriff aufs Apples Server bräuchte.
Vielen Dank, dass du es soweit gelesen hast! Wenn du weitere Fragen hast, trete einfach meiner Telegram Gruppe bei: https://t.me/PaecherTech
Feedback ist auch immer willkommen!
Geschrieben von @PaecherTech
Veröffentlicht am 14. Januar 2025 (Zuletzt bearbeitet: 19.01.2025)
