Apple blockiert Malware WireLurker

Apple hat die Malware WireLurker blockiert, indem es ein dabei verwendetes Entwicklerzertifikat sperrte. Gleichzeitig wurde bekannt, dass die Schadsoftware weitere Verbreitung erfuhr als bislang angenommen. Neben einer Version für Mac OS X kam auch eine Variante für Windows zum Einsatz, um per USB mit einem Rechner verbundene iOS-Geräte anzugreifen. Ein Sicherheitsexperte warnt außerdem vor ähnlichen und potenziell schwerwiegenderen Angriffen, sollte Apple nicht die zugrundeliegenden Probleme angehen.

„Wir sind uns bösartiger Software bewusst, die von einer Download-Site in China verfügbar ist und auf chinesische Nutzer zielt“, heißt es in einer Stellungnahme des iPhone-Herstellers. „Wir haben die identifizierten Apps blockiert, um ihren Start zu verhindern. Wie schon immer empfehlen wir Nutzern, Software nur aus vertrauenswürdigen Quellen zu beziehen und zu installieren.“

Zur Abwehr von WireLurker hat Apple einfach das im Schadcode verwendete Entwicklerzertifikat als ungültig erklärt. Die Malware nutzte das für große Unternehmen vorgesehene Feature „Enterprise Provisioning“, das durch Zertifikate die Schaffung von Nutzerprofilen in geschäftlichen Umgebungen erlaubt. Sie konnte auf diesem Weg auch iPads und iPhones befallen, die nicht zuvor per Jailbreak freigeschaltet wurden.

Die Bezeichnung WireLurker kam auf, weil die Schadsoftware ein iOS-Gerät gefährdet, wenn es per USB-Kabel mit einem infizierten Mac verbunden ist. Die Malware befällt zuerst Macs mithilfe eines in OS-X-Apps eingefügten Trojaners. Anschließend wartet sie darauf, dass ein iPhone oder iPad per USB mit einem iMac, Mac Mini oder MacBook verbunden wird. Danach fügt sie Schadcode zu legitimen iOS-Apps hinzu. Die US-Sicherheitsfirma Palo Alto Networks entdeckte den bösartigen Code in 467 Apps auf dem chinesischen Maiyadi-App-Store für Mac OS X. Von diesen sollen über 365.000 Downloads erfolgt sein.

Wie Sicherheitsforscher Jaime Blasco von AlienVault Labs inzwischen herausfand, gibt es jedoch auch eine entsprechende Windows-Version. Sie wurde sogar schon vor der Nur-Mac-Variante in Umlauf gebracht – Downloads standen über die Public Cloud der in China marktführenden Suchmaschine Baidu bereit. Ein Nutzer namens „ekangwen206“ lud dort nicht weniger als 180 ausführbare Dateien für Windows sowie 67 OS-X-Anwendungen hoch, die alle eine Variante des WireLurker-Trojaners enthielten.

iOS-Forensik-Experte Jonathan Zdziarski sieht die neue Gefahr nur teilweise gebannt. Tatsächlich blieben weitere Lücken offen, nachdem Apple das Zertifikat als nicht mehr vertrauenswürdig erklärte. Den Angreifern sei zudem möglich, das ungültige Zertifikat durch andere zu ersetzen und den schädlichen Code erneut einzufügen. Zdziarski rät dem iPhone-Hersteller dringend zu mehr als nur einer Zertifikat-Sperre: „Es gibt eine Anzahl gefährlicherer Einsatzmöglichkeiten für WireLurker. Und leider werden viele von ihnen unbemerkt bleiben, sodass Apple ein Zertifikat nicht rechtzeitig zurückziehen kann. Es wäre eine viel bessere Lösung, die zugrundeliegenden konzeptionellen Probleme anzugehen, die das alles erst möglich machen.“

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.