iOS-Malware stiehlt Passwörter von freigeschalteten iPhones

Derzeit ist eine Schadsoftware für iOS im Umlauf, die in der Lage ist, Passwörter zu stehlen. Betroffen sind allerdings nur iPhones und iPads, auf denen ein Jailbreak installiert wurde. Erstmals wiesen Reddit-Nutzer Anfang des Monats auf die Unflod genannte Malware hin, die verschiedene Apps wie Snapchat und Google Hangouts abstürzen lässt.

Der deutsche Sicherheitsforscher Stefan Esser hat Unflod nach eigenen Angaben analysiert. Dabei stellte er fest, dass das Schadprogramm die Apple ID und das zugehörige Passwort eines iOS-Geräts stiehlt. Die Daten schickt es dann an Server eines US-Hostinganbieters, der offenbar überwiegend chinesische Kunden bedient.

Esser zufolge wurde Unflod mit einem iPhone-Entwickler-Zertifikat signiert. Wie die Malware in Umlauf gebracht wurde, ist bisher nicht bekannt. Es wird vermutet, sie könnte über eine chinesischen App Store verbreitet worden sein. Im offiziellen Cydia-Store von Jay Freeman, der viele Tweaks und Programme für Jailbreaker anbietet, ist die Malware bisher nicht aufgetaucht.

„Es ist wichtig darauf hinzuweisen, dass diese Bedrohung nur für freigeschaltete iPhones existiert und die Signatur der Binärdatei nicht benötigt wird, damit die Malware funktioniert“, schreibt Esser in seinem Blog. „Die Tatsache, dass sie noch da ist, ist ein Flüchtigkeitsfehler (oder eine Irreführung) des Angreifers.“

Der Code für Unflod sei nicht besonders komplex und die Datei an sich recht klein, ergänzte Esser. „Die Malware verbindet sich mit SSLWrite des Security.framework und durchsucht den Puffer nach bestimmten Zeichenfolgen, die auf eine Apple ID und das Passwort dafür hinweisen. Werden sie gefunden, versucht der Code eine Verbindung zum Port 7878 der IP-Adressen 23.88.10.4 und 23.228.204.55 aufzubauen, und die gestohlenen Daten im Klartext zu senden.“

Ein infiziertes Gerät muss möglicherweise zurückgesetzt werden, um den Schädling restlos zu entfernen. „Derzeit nimmt die Jailbreak-Community an, dass die Löschung der Binärdateien Unflod.dylib/framework.dylib und im Anschluss die Änderung des Passworts ausreichend ist“, heißt es weiter in Essers Blog. „Es ist allerdings noch nicht bekannt, wie die Bibliothek auf das Gerät gelangt ist und von daher ist auch nicht bekannt, ob es andere ‚Malware-Geschenke‘ mitgebracht hat. Wir gehen deswegen davon aus, dass nur ein vollständiges Zurücksetzen die Malware entfernt, was auch einen Verlust des Jailbreak bedeutet.“

Schadprogramme für iPhones sind sehr selten. Bisher ist nur eine Malware bekannt, die es unentdeckt in Apples App Store geschafft hat. Sicherheitsforscher warnen allerdings wiederholt vor den Risiken eines Jailbreak, der nicht nur Zugriff auf von Apple nicht angebotene Programme bietet, sondern auch den Schutz, der sich aus dem fehlenden Root-Zugriff ergibt, aufhebt.

[mit Material von Thomas Brewster, TechWeekEurope]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.