Kritische Sicherheitslücke in iOS ermöglicht das Einschleusen gefälschter Apps

FireEye hat vor einer Sicherheitslücke in iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 Beta gewarnt, die es Cyberkriminellen erlaubt, legitime Apps durch gefälschte Software zu ersetzen und Malware auf ein iPhone oder iPad einzuschleusen. Dabei handelt es sich offenbar um dieselbe Schwachstelle, die die Malware WireLurker benutzt, um per USB verbundene iOS-Geräte zu befallen. Apple ist das Problem schon seit Juli bekannt.

Ein Angreifer muss laut FireEye einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, der wiederum auf eine Seite verweist, die den App-Download enthält. Diese Apps befinden sich zwar außerhalb Apples eigenem App Store, sie können aber legitime Software wie Banking- oder Social-Networking-Apps ersetzen.

Voraussetzung ist, dass die manipulierte App denselben Bundle-Identifier nutzt wie eine bereits installierte App. Laut FireEye lassen sich alle bis auf die von Apple vorinstallierten Anwendungen wie Safari durch schädliche Apps ersetzen. Die Fake-Apps seien sogar in der Lage, auf alle Daten der ursprünglichen Anwendung zuzugreifen, darunter gespeicherte E-Mails oder auch Log-in-Tokens, was es den Hackern erlaube, sich direkt bei einem Konto des Opfers anzumelden. WireLurker setze die Schwachstelle, die FireEye als „Masque Attack“ bezeichnet, allerdings nur in einer eingeschränkten Form ein.

„Die Anfälligkeit existiert, weil iOS keine übereinstimmenden Zertifikate für Apps mit demselben Bundle-Identifier verlangt“, schreibt FireEye in seinem Blog. „Ein Angreifer kann die Schwachstelle über USB und WLAN-Netzwerke ausnutzen. In einem Interview mit Reuters sagte Tao Wei, Sicherheitsforscher bei FireEye, erste Hinweise auf die Zero-Day-Lücke seien im Oktober in speziellen Sicherheitsforen aufgetaucht.

Die Sicherheitsfirma rät iOS-Nutzern, keine Anwendungen aus anderen Quellen als Apples App Store zu installieren. Vor allem sollen sie den Warnhinweis auf einen „nicht vertrauenswürdigen App-Entwickler“ beachten, der erscheint, wenn eine manipulierte App geöffnet wird. „Klicken Sie auf ’nicht vertrauen‘ und deinstallieren Sie die App sofort“, heißt es weiter im FireEye-Blog.

„Wir haben Apple im Juli informiert. Da alle vorhandenen Schutzfunktionen von Apple diesen Angriff nicht verhindern können, fordern wir Apple auf, professionellen Sicherheitsanbietern leistungsfähigere Schnittstellen zur Verfügung zu stellen, um Enterprise-Nutzer vor diesem und anderen fortschrittlichen Angriffen zu schützen.“

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.