Praxis: Mac-Malware WireLurker erkennen und beseitigen

Palo Alto Networks: infizierte Software im Maiyadi App Store (Grafik: Palo Alto Networks)

Die von dem amerikanischen Sicherheitsunternehmen Palo Alto Networks entdeckte Malware WireLurker soll unter bestimmten Umständen Macs befallen, die wiederum dazu genutzt werden, um iOS-Geräte zu infizieren. Das soll auch mit nicht-gejailbreakten iPhones möglich sein. Bisher konnten iOS-Schädlinge nur auf entsperrte Geräte gelangen. Palo Alto Networks sieht in diesem Zusammenhang den Beginn einer neuen Ära von iOS-Malware.

WireLurker verfolgt laut Sicherheitsspezialist Jonathan Zdziarski nur ein Ziel: die eindeutige Identifizierung des Nutzers. Da das chinesische Download-Portal „Maiyadi App Store“, über das die Malware verbreitet wird, wegen seines großen Angebots von Raubkopien beliebter Software relativ populär ist, vermutet Zdziarski, dass die Entwickler der Schadsoftware die Identität der Personen erlangen wollen, die nicht lizenzierte Software nutzen. Laut Palo Alto Networks sind 467 verschiedenen OS-X-Programme von der Malware befallenen. Sie wurden angeblich 350.000 mal in den letzten sechs Monaten heruntergeladen.

WireLurker soll sich über insgesamt 467 infizierte Raubkopien populärer Programme über das chinesische Download-Portal Maiyadi App Store verbreitet haben (Screenshot: ZDNet.de).

WireLurker nutzt den Mac, um iOS-Geräte zu infizieren

Sobald der Anwender eines der infizierten Programme installiert, wird ein im Hintergrund laufender Dienst gestartet, der nur darauf wartet, bis der Nutzer ein iOS-Gerät an den Mac anschließt. Zur Kommunikation mit jenem nutzt er die Bibliothek libimobiledevice. Standardmäßig erfasst WireLurker Serien- und Telefonnummer, iTunes-Kontodaten und andere persönliche Daten von dem iOS-Gerät und sendet sie an einen Server. Sofern das iPhone oder iPad gejailbreakt und der Dienst afc2 eingeschaltet ist, wird weiterer Schadcode installiert, der den Verlauf von iMessage, Kontakte aus dem Adressbuch und weitere Daten abgreift und an einen Server sendet. Unklar ist, ob für die eigentliche Installation von WireLurke der Mac-Anwender sein Admin-Passwort eingeben muss, oder ob die Software die kürzlich entdeckte und noch nicht behobene OS-X-Lücke Rootpipe nutzt. Ob für die Installation auf dem Mac zudem in Systemeinstellungen – Sicherheit unter „Apps-Download erlauben von“ die Option „Keine Einschränkung“ gewählt sein muss, ist ebenfalls fraglich. Standardmäßig erlaubt OS X nur Installationen von Software-Paketen, die entweder aus dem App Store oder von einem verifizierten Entwickler stammen. Auf nicht-64-Bit-kompatiblen Macs läuft WireLurker übrigens nicht.

Laut Zdziarski nutzt die Schadsoftware ein gültiges Unternehmenszertifikat für die Installation auf nicht-gejailbreakten iOS-Geräten. Dieses hat Apple angeblich bereits zurückgezogen. Allerdings können die durch WireLurker auf dem Mac gestarteten Systemdienste trotzdem Informationen vom iOS-Gerät abrufen, da die Software hierfür den Mac als „vertrauensvolle Verbindung“ missbraucht. Auf gejailbreakten Geräten ist sowieso kein Zertifikat für die Installation von Software nötig.

WireLurker finden und löschen

WireLurker besteht aus verschiedenen Komponenten, die sich auf unterschiedliche Verzeichnisse verteilen:

Um den Mac von der Schadsoftware zu befreien, reicht das einfache Löschen der WireLurker-Komponenten aus. Diese Arbeit kann man auch von einem von Palo Alto Networks bereitgestellten Python-Skript erledigen lassen. Hierfür gibt man im Terminal folgende Befehle ein:

curl -O https://raw.githubusercontent.com/PaloAltoNetw\
orks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py


Außerdem sollte das mit dem infizierten Mac verbundene iOS-Gerät zurückgesetzt werden.

Apple hat Handlungsbedarf

Für Zdziarski steht fest, dass eine einfache Zertifikat-Sperre das Problem nicht gänzlich löst. Das Zertifikat sei für WireLurker nicht unbedingt nötig und könne außerdem von den Hackern einfach durch ein gültiges ersetzt werden, um schädlichen Code erneut einzufügen. Er rät dem iPhone-Hersteller dringend zu mehr als nur einer Zertifikat-Sperre. Apple müsse zum einen die Anwender besser aufklären und zum anderen die Unternehmenszertifikate, die die meisten Anwender nie benötigen, standardmäßig deaktivieren. Außerdem sollte ein Programm den Anwender um Erlaubnis fragen, wenn es die Verbindung zwischen Mac und iOS-Gerät nutzen möchte, ähnlich der Bestätigung beim Zugriff auf Kontakte und Standortfreigabe. Eine Verschlüsselung der Verbindung zwischen Mac und iPhone verhindert außerdem, dass selbst Programme mit Root-Zugriff, nicht ohne Erlaubnis des Nutzers auf Daten des iOS-Gerätes zugreifen können.

Für ein größeres Problem hält der Sicherheitsspezialist, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann. Das müsse der iPhone Hersteller schnellstens ändern, andernfalls drohen durch die von WireLurker aufgezeigte Schwäche in der Sicherheitsarchitektur ernstere Konsequenzen. Während Zdiarski die Schadsoftware selbst als „amateurhaft“ bezeichnet, die relativ leicht entdeckt werden kann, seien Geheimdienste wie NSA und GCHQ oder andere begabte Hacker in der Lage, die Systemschwäche effektiver auszunutzen.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.