SDK hat offenbar Backdoor in mehreren tausend iOS-Apps implementiert

SicherheitSicherheitsmanagement
(Bild: Shutterstock/Slavoljub Pantelic)

Darauf hat jetzt der Sicherheitsanbieter Fireeye hingewiesen. Als Quelle hat er das mobiSage SDK des chinesischen Werbedienstleisters adSage ausgemacht, das es in in 2846 Anwendungen fand. Angreifer hätten darüber Malware einschleusen und aus der ferne Zgriff auf Nutzerdaten und Gerätefunktionen erhalten können. Inzwischen wurden die Hintertüren geschlossen.

Fireeye hat in tausenden iOS-Apps, die auch in Apples App Store zum Download bereitstanden, Versionen einer Anzeigenbibliothek mit eingebauten Hintertüren entdeckt. Die Versionen der Bibliothek dienten dazu, Anzeigen auszuliefern, ermöglichten potenziell aber auch den unbefugten Zugriff auf vertrauliche Nutzerdaten sowie Gerätefunktionen.

Fireeye (Grafik: Fireeye)

Die jeweilige Backdoor konnte per Fernzugriff durch das Laden eines JavaScript-Codes von einem Remote-Server aus gesteuert werden. Darüber ließen sich dann mehrerer Aktionen auf den iOS-Geräten durchführen. Neben der Nutzung des Mikrofons oder der Aufnahme von Screenshots, ließen sich auch Ortungsdaten überwachen und übertragen, sowie Dateien im Datencontainer der App Lesen, Löschen, Erstellen und Verändern. Außerdem konnten verschlüsselte Daten an den Remote-Server gesendet werden. Außerdem ließen sich die App-Keychain, etwa der App-Passwortspeicher, auslesen, überschreiben oder zurücksetzen.

Die Backdoors in den zunächst auch in Apples App Store verfügbaren Apps ermöglichten zudem das Sideloading von nicht aus dem App Store stammenden Applikationen. Nutzer wurden dazu aufgefordert, auf die Schaltfläche “Installieren” zu klicken.

Die Analyse der betroffenen Anzeigenbibliothek zeigte laut FireEye fest, dass die Ursache des Problems eine Version des mobiSage SDK ist, das vom chinesischen Werbedienstleister adSage veröffentlicht wurde. Es fand 17 Backdoor-Varianten der Bibliothek mit den Versionsnummern 5.3.3 bis 6.4.4. In der jüngsten Ausgabe 7.0.5 sind die möglichen Hintertüren jedoch nicht mehr enthalten. Unklar ist, ob die Versionen der Anzeigenbibliothek mit Backdoor von adSage selbst stammen oder von Dritten erstellt oder missbraucht wurden.

FireEye machte nach eigenen Angaben 2846 iOS-Apps aus, die Backdoor-Versionen des mobiSage SDK enthielten. Über 900 davon versuchten, den Ad-Server zu kontaktieren, der den JavaScript-Code zur Kontrolle der Backdoors liefern konnte. FireEye übermittelte die komplette Liste der gefährlichen Apps sowie die zugehörigen technischen Details bereits am Am 21. Oktober an Apple.

Dem Sicherheitsanbieter zufolge gibt es keine Anzeichen dafür, dass vom Ad-Server tatsächlich schädliche Befehle ausgingen, um Nutzerdaten zu stehlen. Betroffene Apps hätten allerdings regelmäßig den Server kontaktiert, um zu prüfen, ob neuer JavaScript-Code vorliegt. Angreifer hätten so die Backdoors einfach ausnutzen können, um darüber Schadcode auf ein iOS-Gerät zu schleusen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen