Masque-Attacken – ernsthafte Sicherheitslücke in iOS

Die Sicherheitslücke, die WireLurker benutzte, wurde identifiziert; nach Angaben eines Vertreters von FireEye erhielt das Unternehmen Apple den entsprechenden Bericht bereits im Juli, doch bisher wurde noch kein Patch veröffentlicht.

Aus der Beschreibung des Lecks, das die Versionen iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 beta betrifft, folgt, dass es nicht nur – wie im Fall von WireLurker – gegen mobile Apple-Geräte eingesetzt werden kann, wenn diese via USB verbunden sind, sondern auch entfernt, nachdem dem Opfer eine SMS oder E-Mail mit einem Link auf eine schädliche App geschickt wurde. Bei FireEye wurde diese Infektionsart Masque Attack getauft.

Diese Schwachstelle ermöglicht es einem Cyberkriminellen, ohne Wissen des Anwenders legitime iOS-Anwendungen durch schädliche zu ersetzen und erfolgreiche Angriffe durchzuführen, unabhängig davon, ob das Gerät gesperrt ist oder nicht. Tao Wei, ein führender wissenschaftlicher Mitarbeiter von FireEye erklärt die Entdeckung: Es geht darum, dass der Mechanismus, der von den Apple-Entwicklern bereitgestellt wird, in dem Fall keinen Abgleich der Zertifikate vorsieht, wenn Apps ein und denselben Bundle-Identifier nutzen. Unter Nutzung eines spezialisierten Dienstes des Unternehmens kann ein Entwickler iOS-Anwendungen entwickeln und verbreiten, ohne sie auf die Apple-Site hochladen zu müssen.

Laut Wei sind die WireLurker-Attacken zum gegenwärtigen Zeitpunkt die einzigen Fälle von Ausnutzung der Sicherheitslücke Masque in freier Wildbahn. „Wir haben festgestellt, dass diese Lücke nun die Runde macht und haben es als unsere Pflicht erachtet, unsere Erkenntnisse darüber zu veröffentlichen“, erklärte Wei auf Anfrage von Threatpost.

Die ersten Informationen über WireLurker erschienen Anfang November und erregten großes Aufsehen. Wie sich herausstellte, existiert dieser Schädling in Versionen für Mac OS X und für Windows, allerdings sind die Angriffe unter Verwendung von WireLurker bisher auf China begrenzt. Bei Anschluss eines mobilen Gerätes an einen infizierten Computer sucht der Schädling nach im Land populären iOS-Apps und tauscht diese durch ihr trojanisches Pendant aus.

Nach Angaben von FireEye erhält ein Cyberkriminellen im Rahmen einer Masque-Attacke die Möglichkeit, Anwendungen umzuschreiben, die mit einem Zertifikat eines Unternehmensentwicklers signiert sind. So demonstrierten die Forscher beispielsweise den Austausch einer gültigen Gmail-Anwendung, die vom offiziellen Apple App Store geladen wurde, durch eine schädliche Version, die dabei alle Nachrichten im Postfach des Opfers bewahrt.

„Durch eine Masque-Attacke kann ein Cyberkrimineller an alle vertraulichen Informationen auf Ihrem iPhone gelangen“, warnt Wei. Die Angreifer müssen lediglich das Login-Interface der ursprünglichen App imitieren. Einem großen Risiko sind dabei nicht nur E-Mail- und Game-Programme ausgesetzt, sondern theoretisch auch signierte Bank-Clients, deren Daten Cyberkriminelle mit Hilfe einer Backdoor erhalten könnten. Laut FireEye stehen die Informationen aus dem aktuellen Verzeichnis der Original-App, lokale Daten-Caches eingeschlossen, dem Schädling nach dem Austausch zur Verfügung.

Die bösartige Fälschung nutzt denselben Bundle-Identifier wie das Original und umgeht so die Mobilgeräteverwaltung (MDM). „iOS überprüft die Zertifikate während der Updates nicht“, bestätigte Wei. „Das ermöglicht es Angreifern, die installierte App durch eine gefälschte zu ersetzen.“

„Zum gegenwärtigen Zeitpunkt gibt es keine MDM API, die die Zertifikatsdaten jeder Anwendung überwacht“, fährt der Experte fort. „Aus diesem Grund ist es sehr schwer, eine solche Attacke mit Hilfe von MDM zu erkennen.“

Diese Sicherheitslücke wurde im vergangenen Juli entdeckt und am 26. Juli wurde Apple darüber informiert. „Die Lücke ist sehr gefährlich“, räumt Wei ein, „und gleichzeitig ist sie auch sehr einfach auszunutzen, daher sind wir zu dem Schluss gekommen, dass die User vor dieser Schwachstelle gewarnt werden müssen.“ Was WireLurker betrifft, so wurden beide Versionen bereits unschädlich gemacht, und die von diesen Versionen benutzten Zertifikate hat Apple inzwischen zurückgerufen.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.