Apple spielt Gefahr durch Masque-Attack-Bug herunter

Apple hat auf eine kritische Sicherheitslücke in iOS reagiert, die es Hackern unter Umständen ermöglicht, legitime Apps durch gefälschte Software zu ersetzen. In einer am Donnerstag veröffentlichten Stellungnahme des iPhone-Herstellers heißt es, sein Mobilbetriebssystem verfüge über integrierte Schutzfunktionen, die schädliche Downloads – auch über den als Masque Attack bezeichneten Bug – verhinderten.

Anfang der Woche hatte FireEye auf die Schwachstelle hingewiesen, die in iOS 7.1.1, 7.1.2, 8.0, 8.1 und auch 8.1.1 Beta steckt. Ein Angreifer muss demnach einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Eine gefälschte App, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann nicht nur deren Funktionen übernehmen, sondern auch auf alle von ihr gespeicherten Daten zugreifen, darunter E-Mails oder auch Log-in-Tokens. Letzteres erlaubt es Hackern, sich direkt bei einem Konto eines Opfers anzumelden.

Die Anfälligkeit wird bisher nur in China durch die Malware WireLurker ausgenutzt. Wie Palo Alto Networks in der vergangenen Woche berichtete, ist dort eine Schadsoftware im Umlauf, die Macs befällt und von dort aus auf per USB verbundene Smartphones übergreift. Laut FireEye ist der Fehler Apple schon seit Ende Juli bekannt.

Apple betont in seiner Stellungnahme, es wisse bisher nichts über betroffene Nutzer. „Wir haben OS X und iOS mit eingebauten Sicherheitsmaßnahmen ausgestattet, die Kunden schützen und warnen, bevor sie potenziell gefährliche Software installieren“, teilte ein Apple-Sprecher mit. „Wir empfehlen unseren Kunden, nur Software aus vertrauenswürdigen Quellen wie dem App Store herunterzuladen und auf alle Warnmeldungen beim Download zu achten. Enterprise-Nutzer, die spezielle Apps verwenden, sollten nur Apps von der sicheren Seite ihres Unternehmens installieren.“

Da alle iOS-Versionen ab 7.1.1 betroffen sind, sind rund 95 Prozent aller mobilen Geräte von Apple anfällig für Masque Attack. FireEye weist außerdem darauf hin, dass der Bug auch auf iPhones oder iPads ausgenutzt werden kann, auf denen kein Jailbreak installiert wurde. Viele andere Schadprogramme können nur iOS-Geräte befallen, wenn diese zuvor freigeschaltet wurden.

Apple arbeitet nach eigenen Angaben an einem Fix für die Masque-Attack-Lücke. Ob ein Patch schon in iOS 8.1.1 enthalten ist, das derzeit als Betaversion vorliegt, teilte das Unternehmen nicht mit.

Auch Sicherheitsspezialist Jonathan Zdziarski rät dem iPhone-Hersteller dringend zu mehr als nur einer Zertifikat-Sperre, mit der man die aktuelle Bedrohung durch WireLurker abwehren kann. Apple müsse zum einen die Anwender besser aufklären und zum anderen die Unternehmenszertifikate, die die meisten Anwender nie benötigen, standardmäßig deaktivieren. Außerdem sollte ein Programm den Anwender um Erlaubnis fragen, wenn es die Verbindung zwischen Mac und iOS-Gerät nutzen möchte, ähnlich der Bestätigung beim Zugriff auf Kontakte und Standortfreigabe. Eine Verschlüsselung der Verbindung zwischen Mac und iPhone verhindert außerdem, dass selbst Programme mit Root-Zugriff, nicht ohne Erlaubnis des Nutzers auf Daten des iOS-Gerätes zugreifen können.

Für ein größeres Problem hält der Sicherheitsspezialist, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann. Das müsse der iPhone Hersteller schnellstens ändern, andernfalls drohen durch die von WireLurker aufgezeigte Schwäche in der Sicherheitsarchitektur ernstere Konsequenzen. Während Zdiarski die Schadsoftware selbst als “amateurhaft” bezeichnet, die relativ leicht entdeckt werden kann, seien Geheimdienste wie NSA und GCHQ oder andere begabte Hacker in der Lage, die Systemschwäche effektiver auszunutzen.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.