Lockdown fürs iPhone: So verhält sich Safari im Verschlusszustand
Apple bereitet die Einführung eines neuen Sicherheitsfeatures am iPhone und Mac vor. Dieser sogenannte Lockdown-Modus soll es Angreifern erschweren, Nutzer auszuspähen und vertrauliche Daten abzugreifen. Doch diese erhöhte Sicherheit geht mit einem erheblichen Funktionsverlust einher. Wie der beim Surfen aussieht, hat nun ein Sicherheitsexperte untersucht.
Apple arbeitet momentan an der Einführung eines neuen Sicherheitsfeatures: Dieser sogenannte Lockdown-Modus wird unter iOS 16 am iPhone und auch am Mac unter macOS Ventura zur Verfügung stehen, wie wir in einer früheren Meldung berichtet hatten. Er richtet sich vor allem an Beruffsgeheimnisträger wie Journalisten und Anwälte, aber auch an politisch exponierte Aktivisten.
Neben einer Reihe von Änderungen bei der Nutzung von iOS, konzentrieren sich zahlreiche Eingriffe auf die Nutzung von Safari. Wie sich das Websurfen im Lockdown-Modus verändert, hat nun der Sicherheitsforscher Alexis Lours untersucht. Ergebnis: Es wird unbequem.
So surft es sich sicher, aber steinig unter iOS 16
Er nutzte für seine Analyse das Javascript-Framework Modernizr, mit dem sich einsehen lässt, welche Javascript-Funktionen ein Browser unterstützt. Wie er in seinem persönlichen Blog ausführt, greift der Lockdown-Modus tief in Safari ein.
Der Lockdown-Modus deaktiviert Just-in-Time-Javascript-Verarbeitung, das war bereits bekannt, weil Apple es im Rahmen seiner Ankündigung des Features mitgeteilt hatte. Der Effekt ist aber gewaltig: Ohne JIT fällt die Javascript-Performance um bis zu 95%, das zeigen Benchmarks, was sich auch erheblich auf die Batterielaufzeit auswirken dürfte.
Auch die Unterstützung von WebAssembly wird deaktiviert, damit laufen verschiedene Web-Anwendungen nicht mehr. Dadurch entfallen aber auch zahlreiche gute Möglichkeiten, einen Browser-Fingerabdruck zu erstellen und damit die Web-Aktivitäten eines Nutzers zu tracken.
Auch spielt Safari im Lockdown-Modus keine MP3s mehr, vermutlich möchte Apple damit verhindern, dass durch die MP3-Verarbeitung bösartiger Code eingeschleust wird, wie es in der Vergangenheit schon vorkam.
Die Gamepad-Unterstützung auf Webseiten wird im Lockdown-Modus ebenfalls entfernt: Dritte könnten die Controller-ID nutzen, um Anwender zu tracken.
Deaktiviert ist auch die Vorschau für verschiedene Dateiformate, das besonders anfällige PDF fällt hier ebenso raus wie die Anzeige von JPG-2000- und SVG-Bilddateien. Die Spracherkennungs-API, Audio-API und WebGL sind im Lockdown-Modus ebenfalls nicht verfügbar.
Zusammenfassend kann man sagen: Websites im Lockdown-Modus sehen sicher anders aus als gewohnt und verhalten sich auch anders, viele Funktionen werden fehlen und manche Seite oder Web-App wird nicht mehr sinnvoll zu nutzen sein. Das sollte allerdings nicht überraschen: Maximale Sicherheit hat schlicht ihren Preis.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.