Lücke erlaubt Einschleusen gefälschter Apps in iOS

MobileMobile AppsMobile OSSicherheit
Apple Logo (Bild: Apple/ITespresso)

Die als Masque Attack bezeichnete Schwachstelle ist Apple bereits seit Juli bekannt. Sie findet sich in iOS ab Version 7.1.1 und auch noch in der aktuellsten Version, der Beta von iOS 8.1.1. Die vom Sicherheitsunternehmen Fireeye entdeckte Schwachstelle wird auch von der kürzlich entdeckten Malware Wirelurker ausgenutzt.

Fireeye hat vor einer von dem Sicherheitsunternehmen entdeckten Lücke gewarnt, die in iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 Beta stckt. Sie ermöglicht es Angreifer, Apps durch gefälschte Software zu ersetzen und so Malware auf einem iPhone oder iPad einzuschleusen. Es handelt sich dabei offenbar um dieselbe Schwachstelle, die von der Malware WireLurker ausgenutzt wird. Apple ist das Problem bereits seit Juli bekannt.

Die als Masque Attack bezeichnete Schwachstelle in iOS ist Apple bereits seit Juli bekannt.

Laut Fireeye reicht es aus, einen Nutzer dazu zu verleiten, in einer E-Mail oder Textnachricht auf einen Link zu klicken, der auf eine Seite verweist, die den App-Download enthält. Diese Apps liegen zwar nicht in Apples App Store, können aber legitime Software wie Banking- oder Social-Networking-Apps ersetzen.

Laut Fireeye lassen sich alle bis auf die von Apple vorinstallierten Anwendungen wie Safari durch schädliche Apps ersetzen. Die Fake-Apps seien sogar in der Lage, auf alle Daten der ursprünglichen Anwendung zuzugreifen, darunter gespeicherte E-Mails oder auch Log-in-Token. Die Hacker könnten sich so direkt bei einem Konto des Opfers anmelden. Wirelurker setze die Schwachstelle, die Fireeye als “Masque Attack” bezeichnet, allerdings nur in einer eingeschränkten Form ein.

“Die Schwachstelle existiert, weil iOS keine übereinstimmenden Zertifikate für Apps mit demselben Bundle-Identifier verlangt”, erklärt Fireeye. Angreifer könnten sie über USB und WLAN-Netzwerke ausnutzen. In einem Interview mit Reuters sagte Tao Wei, Sicherheitsforscher bei Fireeye, erste Hinweise auf die Lücke seien im Oktober in speziellen Sicherheitsforen aufgetaucht.

Die Sicherheitsfirma rät iOS-Nutzern, keine Anwendungen aus anderen Quellen als Apples App Store zu installieren. Vor allem sollen sie den Warnhinweis auf einen “nicht vertrauenswürdigen App-Entwickler” beachten, der erscheint, wenn eine manipulierte App geöffnet wird. “Klicken Sie auf ‘nicht vertrauen’ und deinstallieren Sie die App sofort.”

“Wir haben Apple im Juli informiert. Da alle vorhandenen Schutzfunktionen von Apple diesen Angriff nicht verhindern können, fordern wir Apple auf, professionellen Sicherheitsanbietern leistungsfähigere Schnittstellen zur Verfügung zu stellen, um Enterprise-Nutzer vor diesem und anderen fortschrittlichen Angriffen zu schützen.” Ähnliche Forderungen erheben andere Anbieter schon seit Jahren.

Beispielsweise sagte Eugene Kaspersky, Cherf der gleichnamigen Sicherheitsfirma, im April 2012 auf der Sicherheitskonferenz InfoSecurity 2012 in London, Apple könne noch einige Dinge von seinem Konkurrenten lernen. “Sie werden schon bald erkennen, dass sie dieselben Probleme haben wie Microsoft vor zehn bis zwölf Jahren. Sie werden die Häufigkeit von Updates und so weiter ändern und mehr in Sicherheits-Audits ihrer Software investieren müssen. Das ist das, was Microsoft früher nach Vorfällen wie Blaster und anderen Würmern getan hat, die in kurzer Zeit Millionen von Computern infizierten”, ergänzte Kaspersky. “Sie hatten viel Arbeit mit der Prüfung des Codes, um Fehler und Anfälligkeiten zu finden. Jetzt ist es Zeit für Apple, dasselbe zu tun.” Bereits zuvor hatten Experten und Sprecher von Sophos und Trend Micro ähnliche Bedenken geäußert.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen