iOS-Malware klaut Passwörter von iPhones mit Jailbreak

MobileMobile OSSicherheitSmartphoneVirus
iphone-ios7

Die Schadsoftware namens Unflod ist offenbar bereits seit Beginn des Monats im Umlauf. Sie kann sowohl die Apple ID als auch das zugehörige Passwort auslesen. Betroffene Anwender sollten ihr iPhone laut einem deutschen Sicherheitsforscher daher auf die Werkseinstellungen zurücksetzen.

Aktuell ist ein Schadprogramm für iOS im Umlauf, das in der Lage ist, Passwörter zu stehlen. Davon betroffen sind jedoch nur iPhones und iPads, die per Jailbreak freigeschaltet wurden. Anfang des Monats machten erstmals Reddit-Anwender auf die Malware namens Unflod aufmerksam. Diese lässt verschiedene Apps wie Google Hangouts oder Snapchat abstürzen.

iphone-ios7

Nach eigenen Angaben hat der deutsche Sicherheitsforscher Stefan Esser Unflod analysiert. Dabei fand er heraus, dass die Schadsoftware neben der Apple ID auch das entsprechende Passwort eines iOS-Geräts abfängt. Diese Daten sendet es dann an die Server eines US-Hosting-Providers, der vorwiegend offenbar chinesische Kunden bedient.

Laut Esser wurde Unflod mit dem Zertifikat eines iPhone-Entwicklers signiert. Bislang ist nicht bekannt, wie die Malware in Umlauf gelangen konnte. Vermutet wird, dass sie über einen chinesischen App Store Verbreitung fand. Im offiziellen Cydia-Store von Jay Freeman, der zahlreiche Tweaks und Programme für Jailbreaker offeriert, ist die Malware bisher nicht aufgetaucht.

“Es ist wichtig darauf hinzuweisen, dass diese Bedrohung nur für freigeschaltete iPhones existiert und die Signatur der Binärdatei nicht benötigt wird, damit die Malware funktioniert”, erläutert Esser in seinem Blog. “Die Tatsache, dass sie noch da ist, ist ein Flüchtigkeitsfehler (oder eine Irreführung) des Angreifers.”

Esser ergänzt, dass der Unflod-Quelltext nicht besonders komplex und die Datei an sich relativ klein ist. “Die Malware verbindet sich mit SSLWrite des Security.framework und durchsucht den Puffer nach bestimmten Zeichenfolgen, die auf eine Apple ID und das Passwort dafür hinweisen. Werden sie gefunden, versucht der Code eine Verbindung zum Port 7878 der IP-Adressen 23.88.10.4 und 23.228.204.55 aufzubauen, und die gestohlenen Daten im Klartext zu senden.”

Um den Schädling rückstandslos zu beseitigen, muss ein infiziertes Gerät möglicherweise auf die Werkseinstellungen zurückgesetzt werden. “Derzeit nimmt die Jailbreak-Community an, dass die Löschung der Binärdateien Unflod.dylib/framework.dylib und im Anschluss die Änderung des Passworts ausreichend ist”, wie es in Essers Blog weiter heißt.

“Es ist allerdings noch nicht bekannt, wie die Bibliothek auf das Gerät gelangt ist und von daher ist auch nicht bekannt, ob sie andere ‘Malware-Geschenke’ mitgebracht hat. Wir gehen deswegen davon aus, dass nur ein vollständiges Zurücksetzen die Malware entfernt, was auch einen Verlust des Jailbreak bedeutet.”

Malware für iPhones kommt sehr selten vor. Bislang ist nur eine einzige bekannte Schadsoftware unentdeckt in Apples App Store gelangt. Sicherheitsforscher warnen jedoch wiederkehrend vor den Risiken eines Jailbreak. Dieser erlaubt zwar Zugang zu den von Apple nicht angebotenen Programmen, hebelt dafür aber auch den Schutzmechanismus aus, der sich aus dem sonst fehlenden Root-Zugriff ergibt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen