Apple iPhones ohne Jailbreak infizierbar


War bisher von Malware-Infektionen eines Apple iPhones die Rede, wurde im gleichen Atemzug üblicherweise ein zuvor notwendiger Jailbreak – und damit physischer Zugang zum Telefon – erwähnt. Im Zuge der Analysen der Daten, die nach dem Einbruch bei Hacking Team im Netz veröffentlicht wurden, zeigt sich nun, dass es auch ohne Jailbreak und damit aus der Ferne klappt. Dies schreiben zumindest die Mobil-Malware-Experten von Lookout in einem Blogeintrag.

Laut Lookout besaß Hacking Team ein gültiges Enterprise-Zertifikat von Apple, mit dem sich Apps auf iOS-Geräten ohne Jailbreak installieren lassen. Das Zertifikat wurde inzwischen von Apple zurückgezogen.

Mit einem solchen Enterprise-Zertifikat lassen sich von Unternehmen selbst entwickelte Apps für iOS-Geräte publizieren, die nicht extra durch Apples Review-Prozess gehen müssen. Dies ist ein Standard-Verfahren für Firmen, die Apps für ihre Angestellten entwickeln. Zwar sollen sich die Apps damit nur auf den Geräten von Angestellten installieren lassen, technisch ist es aber möglich, die Apps auf beliebigen iOS-Geräten zu installieren.

Damit lassen sich auf beliebigen iOS-Geräten zum Beispiel unbemerkt Apps mit Malware installieren. Laut Lookout warnt ein iPhone zwar standardmäßig seinen Besitzer, wenn dieser eine App installiert, die nicht aus dem AppStore stammt. Doch viele Benutzer würden diese Warnungen ignorieren. Unsichere und schädliche Apps versuchen in der Regel, den AppStore zu umgehen, der hohe Sicherheitsstandards setzt und strengen Prüfungen voraussetzt.

Einige Apps mit Malware versuchen, heimlich über einen Mac mit OSX und den USB-Anschluss auf das mobile iOS-Gerät zu gelangen. Es gibt verschiedenen Versionen, die auch mit einem Jailbreak-Exploit gekoppelt sind. Nur etwa acht Prozent aller iPhones weltweit sind ge-jailbreaked – was an sich beruhigend ist, da durch den Jailbreak zahlreiche, an sich wirksame Sicherheitsmechanismen von Apples Smartphone-Betriebssystem abgeschaltet werden.

Die von Hacking Team verwendete Malware installiert sich entweder über einen Link in einer E-Mail oder einen Drive-by-download per Browser. Sie schneidet Dateneingaben auf dem Gerät heimlich mit. Dazu wird eine manipulierte Keyboard-Software benutzt, die auf dem Gerät installiert werden muss. Sie erlaubt das Mitlesen von E-Mails und Logins, aber nicht das Abgreifen von Passwörtern, so Lookout. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.    

Comments (1)

  1. Dirk Traenapp sagt:

    Was für eine sinnlose Polemik! Vorweg, nein ich bin kein Apple FanBoy, nutze das iPhone und iPad aber gerne.
    Wo ist hier das Problem in Verbindung mit Apple? Wenn ein Anwender so dämlich ist etwas zu installieren, wovor er ausdrücklich gewarnt wird, dann ist er selber Schuld! Das hat nichts mit einer Sicherheitsproblematik bei Apple-iOS Geräten zu tun. Wenn Entwickler
    ihre Möglichkeiten nutzen so etwas tun, dann ist das unvermeidlich. Würde es diese "Lücke" im Sicherheitskonzept nicht geben, dann würden alle wieder meckern, dass Apple keine Freiheiten lässt. Sicherheit und Komfort verbieten sich halt!

    Was Microsoft macht ist viel schlimmer! Bei der Systeminstallation den Anwender automatisch zum Admin zu machen und die UAC so einzustellen, dass er nicht unnötig "gestört" wird, wenn das System verändert werden soll, DAS ist fahrlässig. Anwender wurden über
    Jahre hinweg daran gewöhnt, dass Sicherheitswarnungen "ruhig" ignoriert werden können. Das ist bei Software so, aber noch viel schlimmer im Web. Fast überall existieren SSL-Zertifikate, die selbst signiert sind und jeder Browser meldet die als unsicher. Der
    Anwender hat IMMER die Möglichkeit das zu überspringen und ist das somit gewohnt. DAS ist das Problem.

    Wenn schon auf Mobile-OSes gezeigt werden soll, dann lieber auf Android, denn dort gibt es großteils nicht einmal Warnungen. Man in the Middle ist dort möglich durch Design! Ich bin ein großer Freund von Linux und OpenSource, aber das ist einfach grottenschlecht.

    Am Ende ist es immer der Anwender dem vorgegaukelt wird, dass ein hochkomplexes System so einfach zu beherrschen wäre, wie ein Buch zu lesen. Niemand würde an seinem KFZ herumschrauben, wenn er davon keine Ahnung hat, aber bei einem PC scheint das ganz normal
    …..

Skip to main content