Apple bestätigte am Sonntag die Infiltration des offiziellen iTunes App Store durch Hacker, die mit modifizierten Versionen der Entwicklungsumgebung Xcode rund 40 Apps mit Malware einschleusen konnten. Sicherheitsexperten vermuten bis zu hunderte Millionen User, deren iOS-Sicherheit dadurch partiell geschädigt wurde. Die Presse stürzt sich natürlich darauf (Reuters spricht vom "ersten großen Hack"), wir hoffen hier ein einigermaßen differenziertes Bild vermitteln zu können.
Was passiert da genau?
Primär geht es um die Sammlung von Informationen auf den Geräten der Opfer. Die infizierten Apps aus dem offiziellen (!) App Store rufen unter Umständen im Hintergrund diverse Webdienste auf, die weitere Angriffe möglich machen. Es ist nicht sicher, ob die Command & Control Server der Angreifer auch Befehle an die Trojaner senden können. Die modifizierten Apps schicken auf jeden Fall diverse Informationen zum iDevice (Identifikatoren, Uhrzeit, UUID, Land & Sprache, Netzwerktypus) und der infizierten App (Name der App) in verschlüsselter Form an mehrere chinesische Server.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Primär sieht es danach aus, als könnten die modifizierten Apps nicht aus der Sandbox ausbrechen, anders als beim XARA-Angriff. Das ist übrigens die sechste Malware, die im iTunes App Store identifiziert wurde, so Paloalto Networks. Zuvor gab es LBTM, InstaStock, FindAndCall, Jekyll und FakeTor. Es ist also nicht das erste Mal, dass Apple von Hackern im eigenen Store überlistet wurde.
XcodeGhost: Der Entwickler als Trojaner
Vermutlich wussten die Entwickler nicht einmal, dass ihre Version von Xcode infiziert war und funktionierten somit als menschliche trojanische Pferde.
Die Hacker nutzten dabei einen kuriosen Umstand aus: Chinesische Entwickler tendieren dazu, Software von Servern im eigenen Land herunterzuladen. Der Download ist einfach schneller, als die Tools von Cupertino in Tröpfelgeschwindigkeit zu bekommen.
Wer als Dev ein halbwegs gesundes Sicherheitsbewusstsein hat, würde wenigstens die SHA1-Prüfsumme des Downloads mit dem Original vergleichen oder eben erst gar nicht von fremden Servern irgendwelcher Drittanbieter (teils auch Baidu) downloaden. Dass Apple keine chinesischen Mirror für so missionskritische Dinge wie Xcode anbietet, ist natürlich ein ziemlicher Fail auf Seiten von Cupertino und war mir soweit auch noch nicht bewusst. Somit konnte überhaupt erst das Debakel ermöglicht werden, denn die Entwickler der betroffenen Apps mussten entweder Bescheid wissen und Komplizen sein, oder aus eben erwähnten Gründen die Gatekeeper-Funktion ausschalten und unbedacht von einem nicht vertrauenswürdigen Server ihre Tools beziehen.
Ein alternatives Szenario wäre natürlich auch Mac OS X Malware in gecrackten Apps zu verstecken, die häufig von chinesischen Entwicklern genutzt werden. Ich will ja hier nicht allzu sehr verallgemeinern, aber China ist nicht gerade für den vertrauenswürdigen Umgang mit Softwarelizenzen und Copyrights bekannt. Von da aus könnte man dann Xcode-Projekte oder den Xcode-Ordner und somit auch die Endprodukte infizieren.
Die von XcodeGhost betroffenen Apps:
ir2, AmHexinForPad, baba, BiaoQingBao, CamCard, CamCard, CamScanner, CamScanner Lite, CamScanner Pro, ChinaUnicom3.x, CSMBP-AppStore, CuteCUT, DataMonitor, FlappyCircle
Laut Fox-IT außerdem betroffen (auf Basis einer Trafficanalyse):
golfsense, golfsensehd, guaji_gangtai en, Guitar Master, IHexin, immtdchs, InstaFollower, installer, iOBD2, iVMS-4500, jin, Lifesmart  1.0.44, Mercury, MobileTicket, MoreLikers2, MSL070, MSL108, Musical.ly, nice dev, OPlayer, OPlayer  2.1.05, OPlayer Lite, PDFReader, PDFReader Free, Perfect365, PocketScanner, Quick Save, QYER, SaveSnap, SegmentFault  2.8, snapgrab copy, SuperJewelsQuest2, ting, TinyDeal.com, Wallpapers10000, WeChat, WeLoop, WhiteTile, WinZip, WinZip Sector, WinZip Standard
XcodeGhost: Was ihr dagegen tun könnt
Die folgenden Tipps gelten primär für Nutzer der Apps, die eindeutig betroffen waren. Da es sich dabei primär um den chinesischen Markt handelt, müsst ihr euch nicht zwangsweise große Sorgen machen. Es gibt allerdings auch hierzulande User mit den typischen Apps á la WeChat, die in manchen Versionen betroffen waren. Diese solltet ihr, nebst den Erwähnungen in der Liste, möglichst sofort deinstallieren.
- Augen nach fake iCloud-Loginfenstern offen halten
- Falls ihr Kennwörter häufig copy-pasted, solltet ihr sie nun besser rotieren (austauschen)
- iCloud-Passwort auf jeden Fall austauschen um Zahlungsdaten-Missbrauch zu vermeiden
- Bonus: 2-Faktor-Authentifizierung einrichten (zweistufige Bestätigung)
Mehr Infos gibt es bei Paloalto Networks.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵