iOS-Leck lässt gefälschte Apps zu

Martin Schindler,

Legitime Apps können über die Sicherheitslücke gegen manipulierte Anwendungen ausgetauscht werden, warnt der Sicherheitsspezialist FireEye. Apple soll bereits seit Sommer Kenntnis über das Leck haben, das offenbar auch für die erst vor kurzem bekannt gewordene Malware WireLurker genutzt wird.

Das Sicherheitsunternehmen FireEye warnt vor einem Sicherheitsleck in iOS 7.1.1, 7.1.2, 8.0, 8.1 sowie in der aktuellen Beta-Version von 8.1.1. Über diese Schwachstelle können Cyberkriminellen legitime Apps durch gefälschte Software ersetzen. Auf diesem Weg können iPhone oder iPad Schadprogramme eingeschleust werden. Dabei handelt es sich offenbar um dieselbe Schwachstelle, die die Malware WireLurker benutzt, um per USB verbundene iOS-Geräte zu befallen. Apple ist das Problem schon seit Juli bekannt.

fireeye-masque-attack

Der Angreifer müsse laut FireEye den Anwender dazu bringen, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, der wiederum auf eine Seite verweist, die den App-Download enthält. Diese Apps befinden sich zwar außerhalb Apples eigenem App Store, sie können aber legitime Software wie Banking- oder Social-Networking-Apps ersetzen.

Voraussetzung ist, dass die manipulierte App denselben Bundle-Identifier nutzt wie eine bereits installierte App. Laut FireEye lassen sich alle bis auf die von Apple vorinstallierten Anwendungen wie Safari durch schädliche Apps ersetzen. Die Fake-Apps seien sogar in der Lage, auf alle Daten der ursprünglichen Anwendung zuzugreifen, darunter gespeicherte E-Mails oder auch Log-in-Tokens, was es den Hackern erlaube, sich direkt bei einem Konto des Opfers anzumelden. WireLurker setze die Schwachstelle, die FireEye als “Masque Attack” bezeichnet, allerdings nur in einer eingeschränkten Form ein.

“Die Anfälligkeit existiert, weil iOS keine übereinstimmenden Zertifikate für Apps mit demselben Bundle-Identifier verlangt”, heißt es im FireEye-Blog. “Ein Angreifer kann die Schwachstelle über USB und WLAN-Netzwerke ausnutzen. In einem Interview mit Reuters erklärt Tao Wei, Sicherheitsforscher bei FireEye, erste Hinweise auf die Zero-Day-Lücke seien im Oktober in speziellen Sicherheitsforen aufgetaucht.

Die Sicherheitsfirma rät iOS-Nutzern, keine Anwendungen aus anderen Quellen als Apples App Store zu installieren. Vor allem sollen sie den Warnhinweis auf einen “nicht vertrauenswürdigen App-Entwickler” beachten, der erscheint, wenn eine manipulierte App geöffnet wird. “Klicken Sie auf ‘nicht vertrauen’ und deinstallieren Sie die App sofort”, heißt es weiter im FireEye-Blog.

“Wir haben Apple im Juli informiert. Da alle vorhandenen Schutzfunktionen von Apple diesen Angriff nicht verhindern können, fordern wir Apple auf, professionellen Sicherheitsanbietern leistungsfähigere Schnittstellen zur Verfügung zu stellen, um Enterprise-Nutzer vor diesem und anderen fortschrittlichen Angriffen zu schützen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.