App Store: Forscher schleusen Malware-App ein

Forschern ist erneut gelungen, Apples Prüfer zu täuschen und Malware in den App Store zu schleusen. Weder die vorgeschriebene Überprüfung noch Apples Codesignierung konnten die Ausführung von Malware auf iOS-Geräten verhindern. Die listenreiche App wurde von einer Forschergruppe des Georgia Institute of Technology eingereicht, meist kurz als Georgia Tech bezeichnet.
(Bild: Josh Lowensohn)

„Unsere Methode erlaubt es Angreifern, verlässlich ein bösartiges Verhalten zu verbergen, dass ansonsten zu einer Abweisung ihrer App im Prüfungsprozess von Apple führen würde“, schreibt der als Doktorand beteiligte Long Lu, der inzwischen Assistenzprofessor für Informatik ist. Die so entwickelten Anwendungen bezeichnet er als „Jekyll-Apps“. Ihnen liegt die Idee zugrunde, signierte Codefragmente später umzuordnen und damit für bösartige Programmabläufe zu sorgen: „Da dieser Steuerungsablauf während der App-Überprüfung nicht vorhanden ist, können solche Anwendungen unentdeckt bleiben und mühelos Apples Genehmigung erhalten.“

Zum Beweis schuf das Forscherteam eine solche Jekyll-App und schleuste sie erfolgreich in den App Store ein. Mit ihr war es möglich, auf einer kontrollierten Gruppe von Geräten Angriffe auszuführen. Obwohl sie innerhalb der iOS-Sandbox lief, konnte sie bösartige Aufgaben erfüllen – etwa heimlich Tweets veröffentlichen, Fotos aufnehmen, Geräteinformationen entwenden, E-Mails und SMS versenden, andere Apps angreifen und sogar Kernel-Schwachstellen ausnutzen.

Das Einschleusen in den App Store erleichterte zudem die extrem kurze Prüfung des iPhone-Herstellers. Wie ein Überwachungscode der App selbst ermittelte, ließ Apples Prüfungsteam die Anwendung nur wenige Sekunden lang laufen. Laut Long Lu liegt der Fehler aber vor allem darin, dass dabei meist nur eine statische Analyse vorgenommen wird. Das sei nicht ausreichend, da dynamisch generierte Programmlogik auf diese Weise nicht so leicht zu erkennen sei.

„Die App telefonierte nach Hause, als sie installiert wurde und wartete auf Befehle“, erklärte Lu gegenüber MIT Technology Review. „Das gab uns die Gelegenheit, für einen neuen logischen Ablauf dieser App zu sorgen, den es während der Installation noch nicht gab.“ Schon wenige Minuten nach dieser Beweisführung entfernten die Forscher die Malware-App wieder aus dem App Store, um Downloads durch unbeteiligte Besucher zu vermeiden.

Der iPhone-Hersteller hat inzwischen reagiert und einige Veränderungen an seinem Mobilbetriebssystem iOS vorgenommen, wie Sprecher Tom Neumayr erklärte. Zu Apples Zulassungsprüfung für iOS-Apps wollte er jedoch ausdrücklich nicht Stellung nehmen.

[mit Material von Josh Lowensohn, News.com]

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

18 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

22 Stunden ago