App Store: Forscher schleusen Malware-App ein

Forschern ist erneut gelungen, Apples Prüfer zu täuschen und Malware in den App Store zu schleusen. Weder die vorgeschriebene Überprüfung noch Apples Codesignierung konnten die Ausführung von Malware auf iOS-Geräten verhindern. Die listenreiche App wurde von einer Forschergruppe des Georgia Institute of Technology eingereicht, meist kurz als Georgia Tech bezeichnet.
(Bild: Josh Lowensohn)

„Unsere Methode erlaubt es Angreifern, verlässlich ein bösartiges Verhalten zu verbergen, dass ansonsten zu einer Abweisung ihrer App im Prüfungsprozess von Apple führen würde“, schreibt der als Doktorand beteiligte Long Lu, der inzwischen Assistenzprofessor für Informatik ist. Die so entwickelten Anwendungen bezeichnet er als „Jekyll-Apps“. Ihnen liegt die Idee zugrunde, signierte Codefragmente später umzuordnen und damit für bösartige Programmabläufe zu sorgen: „Da dieser Steuerungsablauf während der App-Überprüfung nicht vorhanden ist, können solche Anwendungen unentdeckt bleiben und mühelos Apples Genehmigung erhalten.“

Zum Beweis schuf das Forscherteam eine solche Jekyll-App und schleuste sie erfolgreich in den App Store ein. Mit ihr war es möglich, auf einer kontrollierten Gruppe von Geräten Angriffe auszuführen. Obwohl sie innerhalb der iOS-Sandbox lief, konnte sie bösartige Aufgaben erfüllen – etwa heimlich Tweets veröffentlichen, Fotos aufnehmen, Geräteinformationen entwenden, E-Mails und SMS versenden, andere Apps angreifen und sogar Kernel-Schwachstellen ausnutzen.

Das Einschleusen in den App Store erleichterte zudem die extrem kurze Prüfung des iPhone-Herstellers. Wie ein Überwachungscode der App selbst ermittelte, ließ Apples Prüfungsteam die Anwendung nur wenige Sekunden lang laufen. Laut Long Lu liegt der Fehler aber vor allem darin, dass dabei meist nur eine statische Analyse vorgenommen wird. Das sei nicht ausreichend, da dynamisch generierte Programmlogik auf diese Weise nicht so leicht zu erkennen sei.

„Die App telefonierte nach Hause, als sie installiert wurde und wartete auf Befehle“, erklärte Lu gegenüber MIT Technology Review. „Das gab uns die Gelegenheit, für einen neuen logischen Ablauf dieser App zu sorgen, den es während der Installation noch nicht gab.“ Schon wenige Minuten nach dieser Beweisführung entfernten die Forscher die Malware-App wieder aus dem App Store, um Downloads durch unbeteiligte Besucher zu vermeiden.

Der iPhone-Hersteller hat inzwischen reagiert und einige Veränderungen an seinem Mobilbetriebssystem iOS vorgenommen, wie Sprecher Tom Neumayr erklärte. Zu Apples Zulassungsprüfung für iOS-Apps wollte er jedoch ausdrücklich nicht Stellung nehmen.

[mit Material von Josh Lowensohn, News.com]