Sicherheitsexperte spielt via Sandjacking bedrohliche Apps auf iOS-Geräten ein
Dafür nutzt er eine neue Funktion von Xcode 7. Mittels einer Apple ID erlaubt sie die Zertifizierung von Apps. Per Sideloading können solche Apps auch ohne Jailbreak auf iPhones und iPads eingespielt werden.
Der bei Mi3 Security beschäftigte Sicherheitsforscher Chilik Tamir hat auf der Konferenz Black Hat Asia eine Sicherheitslücke in der Apple-Entwicklungsumgebung Xcode 7 enthüllt, die es ermöglicht, bösartige Apps auf iOS-Geräten zu installieren. Die von ihm als Sandjacking titulierte Attacke funktioniert auch auf Geräten, die nicht über einen Jailbreak freigeschaltet wurden. Das berichtet Security Affairs.
Tamir nutzte für seinen Angriff eine neue Funktion von Xcode 7. Sie ermöglicht es Entwicklern, mittels ihres Namens und ihrer Apple ID Zertifikate für Apps auszustellen. Diese Apps müssen nicht in den App Store hochgeladen werden, auch durchlaufen sie nicht Apples Prüfverfahren. Allerdings sind sie in ihren Funktionen eingeschränkt. Die selbst zertifizierten Applikationen haben keinen Zugriff auf Apple Pay, Applikations-Domains, iCloud, In-App-Einkäufe, Passbook respektive Wallet und sie können auch keine Push-Benachrichtigungen senden.
Laut dem Bericht können solche Apps aber Anwenderdaten abrufen und ebenso das Adressbuch sowie den Kalender auslesen. Überdies sei es ihnen möglich, den Standort des Nutzers per GPS herauszufinden. Damit verfügten sie über viele Funktionen mobiler Malware.
Seinen Angriff zeigte Tamir mit einem von ihm entwickelten Proof-of-Concept. Das Su-A-Cyder genannte Werkzeug ist in der Lage, die auf einem iOS-Gerät installierten legitimen Apps durch schädliche Varianten zu ersetzen, die es auch selbst entwickelt. Ein Angreifer muss sein Opfer dann nur dazu verleiten, sein iPhone oder iPad mit einem Computer zu verbinden.
“Su-A-Cyder kann als ein Rezept beschrieben werden, bei dem eine Zutat Schadcode, eine Zutat eine legitime App und eine Zutat eine Apple ID ist, die zusammengemischt eine neue böse Client-App ergeben, die sich leicht auf einem nicht gejailbreakten Gerät installieren lässt”, erläuterte Tamir. “Su-A-Cyder ist keine Schadsoftware und es ist keine Anfälligkeit, es ist ein Angriffsvektor. Es ist eine Zusammenstellung von Open-Source-Technologien (Theos und Fastlane), die Apples selbstgebrautes Zertifizierungsprogramm für Apps nutzt, um zu zeigen, dass eine anonyme Entwicklung böser Apps kein Mythos mehr ist. Und jede legitime Anwendung kann mit einer anonymen Apple ID umgestaltet und per Sideloading auf einem Gerät installiert werden.”
Sandjacking funktioniere, da Apple den Wiederherstellungsprozess von Apps nicht kontrolliere. Ein Angreifer erstelle eine Kopie, lösche die legitime App, installiere die bedrohliche Version und stelle dann das Backup wieder her. In diesem Szenario werde die schädliche App nicht entfernt und der Hacker erhalte Zugriff auf die Sandbox der App, die er zuvor ersetzt habe.
Apple sei der Fehler bereits seit Januar bekannt, heißt es weiter in dem Bericht. Bislang habe es aber noch keinen Patch verfügbar gemacht. Tamir sehe derweil die Veröffentlichung eines weiteren Werkzeugs vor, das es erlaube, das Sandjacking-Verfahren zu automatisieren – aber erst, nachdem ein Fix verfügbar sei.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.