Technik

Masque Attack ohne Jailbreak Hacker ersetzen iPhone-Apps

Masque Attack.jpg

Auch bei Masque Attack haben Angreifer ohne die Mithilfe unvorsichtiger iOS-Nutzer keine Chance.

(Foto: FireEye)

Bisher galten iOS-Nutzer, die die Firmware ihres Geräts nicht manipulieren, als unangreifbar. Doch jetzt haben Sicherheitsexperten einen Weg gefunden, Apps auf jedem iPhone oder iPad durch bösartige Doppelgänger zu ersetzen. Zwei falsche Tipper genügen.

Vor wenigen Tagen sorgte Trojaner "WireLurker" für großen Wirbel, der an Mac-Rechner angeschlossene iOS-Geräte infizieren kann. Wirklich gefährlich ist diese Bedrohung für die meisten Nutzer eines iPhone oder iPad allerdings nicht. Um sich über diese Schwachstelle einen Schädling einzufangen, muss ein Gerät nämlich einen sogenannten Jailbreak haben. Das heißt, Nutzer müssen die Firmware über eine Software so manipulieren, dass sie vollständigen Zugriff auf alle Bereiche des Betriebssystems zu erhalten. Dies ist vergleichbar mit Root-Rechten bei Android-Geräten oder Administratorrechten beim PC. Das ist für einige Nutzer attraktiv, da sie dann unter anderem auch nicht von Apple freigegebene Apps aus alternativen Stores installieren können.

Jetzt aber hat die Sicherheitsfirma FireEye eine Lücke in iOS entdeckt, die auch iPhones und iPads ohne Jailbreak bedroht, also weitaus gefährlicher als WireLurker ist. Die "Masque Attack" getaufte Schwachstelle ermöglicht es Angreifern, aus dem App Store installierte Anwendungen durch Doppelgänger zu ersetzen, die dann Zugangsdaten, Passwörter und vieles mehr ausspionieren können. Die gefälschten Apps sind sogar dazu in der Lage, Daten zu übernehmen, die die Original-Anwendung auf dem Gerät gesichert hat. Dies können beispielsweise im Cache gespeicherte Auto-Logins sein. Laut FireEye gibt es Anzeichen, dass die Sicherheitslücke bereits ausgenutzt wird. Betroffen seien alle Versionen ab iOS 7.1.1.

Ausnahme für Unternehmen

Möglich ist der Austausch, weil es Apple Unternehmen beziehungsweise Entwicklern erlaubt, App-Versionen auch direkt an Mitarbeiter zu verteilen. Angreifer müssen dazu ihre Malware mit der gleichen ID (Bundle Identifier) der Original-App versehen, die sie beispielsweise in der iTunes Library finden. Schwieriger ist es, an ein erforderliches Unternehmenszertifikat zu gelangen.

Auch wenn Masque Attack wesentlich gefährlicher als WireLurker ist, sind Angreifer immer noch auf die aktive Mithilfe unvorsichtiger Nutzer angewiesen, die beispielsweise auf Links in Nachrichten tippen, die sie auf Webseiten weiterleiten, wo die Malware-App lauert. Dort müssen sie dann in einem zweiten Schritt noch die Installation akzeptieren. FireEye zeigt dies am Beispiel einer angeblich neuen Version von "Flappy Bird", die Googles E-Mail-App Gmail durch ein Duplikat ersetzt, indem es iOS vorgaukelt, es handele sich um ein Update. Und es gibt noch eine weitere wichtige Einschränkung: Es können keine von Apple vorinstallierten Apps wie Mail, Safari oder Nachrichten ersetzt werden.

Um vor Masque Attack sicher zu sein, müssen iOS-Nutzer nur drei Regeln beachten: a) Apps nur aus dem offiziellen App Store installieren, b) niemals eine Installation akzeptieren, die ein Pop-up-Fenster anbietet und c) iOS-Warnungen vor nicht vertrauenswürdigen Entwicklern ernst nehmen und Apps, bei denen sie angezeigt werden, sofort deinstallieren.

*Datenschutz

Quelle: n-tv.de, kwe

Mehr zum Thema