Sicherheitslücke in iOS ermöglicht(e) Installation manipulierter Apps


Trend Micro, ein Hersteller von Antiviren-Software, beschreibt in einem Blog-Beitrag wie kriminelle Hacker eine Lücke im Signierprozess des Codes von Apple iOS ausnutzen, um Malware einzuschleusen. Die Firma meldete den Bug bereits im Juli an Apple, das die Lücke daraufhin in der Version 10 seines Mobilbetriebssystems schloss. Doch die Software-Versionen bis hin zu 9.3.5 sind nach wie vor anfällig. Anwendern wird empfohlen, auf das aktuelle Betriebssystem upzudaten.

Die verwendete Technik nennt sich Masque Attack und wurde erstmals 2014 beschrieben. Apple entwickelte damals zwei Patches, die das Problem beseitigen sollten. Doch die Analysten von Trend Micro stellten dieses Jahr fest, dass nach wie vor zahlreiche gefälschte Apps im Umlauf sind. Sie weisen die gleiche Bundle-ID auf wie die Originalprogramme im App Store und können auch mit Unternehmenszertifikaten signiert werden. Sobald der Anwender sie installiert, fordern sie vom Betriebssystem eine Reihe von neuen Benutzerrechten an. Der eigentliche Trick besteht jedoch darin, diesen Fake-Apps eine niedrigere Versionsnummer zu geben als sie das Original im App Store besitzt. Sofern ein automatisches Update eingerichtet ist, informiert der App Store daher den Anwender nach der Installation der App darüber, dass eine neuere Version verfügbar ist. Bei der Installation erbt sie dann die Berechtigungen, die für die gefälschte App eingerichtet wurden.

Gefährliches Erbe

Aber auch weitere Eigenschaften und Verhaltensweisen können vererbt werden. So laden beispielsweise viele Apps per Javascript weiteren Code von ihren Servern nach. Die zugehörigen Links lassen sich auf andere Server umleiten, um die Original-Apps mit eigenem Code zu versorgen. Oder die Kriminellen steuern mit veränderten Links Phishing-Sites an, die beispielsweise die Zugangsdaten der Bankverbindung ausspähen. Es ist sogar möglich, die Werbe-ID einer App auszutauschen, so dass sämtliche generierten Umsätze auf ein Konto der Kriminellen fließen.

Laut Trend Micro müssen die Angreifer lediglich ein kleines Toolkit zusammenstellen, um die manipulierte App wieder so zu verpacken, dass die Änderungen von den Sicherheitsmechanismen in iOS nicht entdeckt werden. Das funktioniert nicht nur bei Programmen aus dem App Store, sondern auch bei firmeneigenen Apps, die manche Unternehmen für den internen Gebrauch entwickeln.

Verbreitet werden die gefälschten Apps gerne über Social-Media-Kanäle, wo sie teilweise aggressiv beworben werden. Oft handelt es sich um populäre und weit verbreitete Spiele wie etwa Pokémon GO, aber auch der Facebook-Client ist betroffen. Trend Micro hat eine kleine Liste veröffentlicht. Da sich die Apps äußerlich nicht von den Originalen unterscheiden, haben viele Anwender offenbar keine Bedenken, die Software zu installieren – auch wenn sie nicht aus dem offiziellen App Store stammt. Eine Vorsichtsmaßnahme lautet denn auch, ausschließlich das offizielle App-Verzeichnis von Apple als Quelle für Software-Downloads zu nutzen. Apple hat iOS 10 zudem so verändert, dass gefälschte Apps nicht mehr von den Originalen überschrieben werden.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)

Skip to main content