Image Image Image Image

Malware im App Store: Panikmache oder echtes Risiko?

Malware im App Store: Panikmache oder echtes Risiko?

Apple bestätigte am Sonntag die Infiltration des offiziellen iTunes App Store durch Hacker, die mit modifizierten Versionen der Entwicklungsumgebung Xcode rund 40 Apps mit Malware einschleusen konnten. Sicherheitsexperten vermuten bis zu hunderte Millionen User, deren iOS-Sicherheit dadurch partiell geschädigt wurde. Die Presse stürzt sich natürlich darauf (Reuters spricht vom "ersten großen Hack"), wir hoffen hier ein einigermaßen differenziertes Bild vermitteln zu können.

Was passiert da genau?

Primär geht es um die Sammlung von Informationen auf den Geräten der Opfer. Die infizierten Apps aus dem offiziellen (!) App Store rufen unter Umständen im Hintergrund diverse Webdienste auf, die weitere Angriffe möglich machen. Es ist nicht sicher, ob die Command & Control Server der Angreifer auch Befehle an die Trojaner senden können. Die modifizierten Apps schicken auf jeden Fall diverse Informationen zum iDevice (Identifikatoren, Uhrzeit, UUID, Land & Sprache, Netzwerktypus) und der infizierten App (Name der App) in verschlüsselter Form an mehrere chinesische Server.

Primär sieht es danach aus, als könnten die modifizierten Apps nicht aus der Sandbox ausbrechen, anders als beim XARA-Angriff. Das ist übrigens die sechste Malware, die im iTunes App Store identifiziert wurde, so Paloalto Networks. Zuvor gab es LBTM, InstaStock, FindAndCall, Jekyll und FakeTor. Es ist also nicht das erste Mal, dass Apple von Hackern im eigenen Store überlistet wurde.

XcodeGhost: Der Entwickler als Trojaner

Vermutlich wussten die Entwickler nicht einmal, dass ihre Version von Xcode infiziert war und funktionierten somit als menschliche trojanische Pferde.

Die Hacker nutzten dabei einen kuriosen Umstand aus: Chinesische Entwickler tendieren dazu, Software von Servern im eigenen Land herunterzuladen. Der Download ist einfach schneller, als die Tools von Cupertino in Tröpfelgeschwindigkeit zu bekommen.

Wer als Dev ein halbwegs gesundes Sicherheitsbewusstsein hat, würde wenigstens die SHA1-Prüfsumme des Downloads mit dem Original vergleichen oder eben erst gar nicht von fremden Servern irgendwelcher Drittanbieter (teils auch Baidu) downloaden. Dass Apple keine chinesischen Mirror für so missionskritische Dinge wie Xcode anbietet, ist natürlich ein ziemlicher Fail auf Seiten von Cupertino und war mir soweit auch noch nicht bewusst. Somit konnte überhaupt erst das Debakel ermöglicht werden, denn die Entwickler der betroffenen Apps mussten entweder Bescheid wissen und Komplizen sein, oder aus eben erwähnten Gründen die Gatekeeper-Funktion ausschalten und unbedacht von einem nicht vertrauenswürdigen Server ihre Tools beziehen.

Ein alternatives Szenario wäre natürlich auch Mac OS X Malware in gecrackten Apps zu verstecken, die häufig von chinesischen Entwicklern genutzt werden. Ich will ja hier nicht allzu sehr verallgemeinern, aber China ist nicht gerade für den vertrauenswürdigen Umgang mit Softwarelizenzen und Copyrights bekannt. Von da aus könnte man dann Xcode-Projekte oder den Xcode-Ordner und somit auch die Endprodukte infizieren.

Die von XcodeGhost betroffenen Apps:

ir2, AmHexinForPad, baba, BiaoQingBao, CamCard, CamCard, CamScanner, CamScanner Lite, CamScanner Pro, ChinaUnicom3.x, CSMBP-AppStore, CuteCUT, DataMonitor, FlappyCircle

Laut Fox-IT außerdem betroffen (auf Basis einer Trafficanalyse):

golfsense, golfsensehd, guaji_gangtai en, Guitar Master, IHexin, immtdchs, InstaFollower, installer, iOBD2, iVMS-4500, jin, Lifesmart  1.0.44, Mercury, MobileTicket, MoreLikers2, MSL070, MSL108, Musical.ly, nice dev, OPlayer, OPlayer  2.1.05, OPlayer Lite, PDFReader, PDFReader Free, Perfect365, PocketScanner, Quick Save, QYER, SaveSnap, SegmentFault  2.8, snapgrab copy, SuperJewelsQuest2, ting, TinyDeal.com, Wallpapers10000, WeChat, WeLoop, WhiteTile, WinZip, WinZip Sector, WinZip Standard

 

XcodeGhost: Was ihr dagegen tun könnt

Die folgenden Tipps gelten primär für Nutzer der Apps, die eindeutig betroffen waren. Da es sich dabei primär um den chinesischen Markt handelt, müsst ihr euch nicht zwangsweise große Sorgen machen. Es gibt allerdings auch hierzulande User mit den typischen Apps á la WeChat, die in manchen Versionen betroffen waren. Diese solltet ihr, nebst den Erwähnungen in der Liste, möglichst sofort deinstallieren.

Mehr Infos gibt es bei Paloalto Networks.


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home