Trend Micro: Masque-Attack-Bug erlaubt Diebstahl unverschlüsselter App-Daten

Der Masque-Attack-Bug, der iOS 7 und 8 betrifft, erlaubt offenbar auch den Diebstahl von Daten beliebiger auf einem iOS-Gerät installierter Apps. Trend Micro hat nach eigenen Angaben eine neue Möglichkeit entdeckt, wie sich die Schwachstelle ausnutzen lässt, um unverschlüsselte Daten anderer legitimer Anwendungen auszuspähen.

Tests mit mehreren Apps hätten gezeigt, dass einige beliebte iOS-Apps ihre Datenbanken nicht verschlüsseln, schreibt Trend Micro in seinem Blog. Das gilt unter anderem für Messaging- und Kommunikationsanwendungen, die in der Regel persönliche Informationen wie Namen und Adressen speichern.

„Bei unserer Analyse haben wir nur Dateibrowser verwendet, um auf die Dateien zuzugreifen“, heißt es weiter in dem Blogeintrag. Einem Screenshot zufolge ist auch WhatsApp von dem Problem betroffen. Unklar ist allerdings, ob die kürzlich von WhatsApp angekündigte Ende-zu-Ende-Verschlüsselung diese Hintertüre schließt und auch die Datenbank der App unter iOS vor unbefugten Zugriffen schützt.

Darüber hinaus hat Trend Micro festgestellt, dass ein Fehler wie der Masque-Attack-Bug unter Android keinen Datendiebstahl in diesem Umfang ermöglichen würde. „Was unsere Entdeckung noch interessanter macht, ist, dass das nicht über die Android-Gegenstücke der Apps gesagt werden kann. Wir haben ermittelt, dass die Android-Versionen dieser Apps verschlüsselt sind. Ein Angreifer müsste sie zuerst entschlüsseln, um auf die Daten zugreifen zu können“, ergänzte Brooks Hong, Mobile Threat Response Engineer bei Trend Micro.

Trend Micro vermutet, dass die Herausgeber der untersuchten Apps unter iOS auf die zusätzliche Verschlüsselung ihrer Datenbanken verzichtet haben, weil der größte Teil der mobilen Schadprogramme auf die Android-Plattform ausgerichtet ist. „Weil es relativ wenige iOS-Bedrohungen gibt, haben die Entwickler vielleicht keine Notwendigkeit für eine Verschlüsselung unter iOS gesehen“, so Hong weiter.

Der Masque-Attack-Bug erlaubt es Hackern unter Umständen, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer muss einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Eine gefälschte App, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann nicht nur deren Funktionen übernehmen, sondern auch auf alle von ihr gespeicherten Daten zugreifen, darunter E-Mails oder auch Log-in-Tokens. Letzteres erlaubt es Hackern, sich direkt bei einem Konto eines Opfers anzumelden.

Der Fehler steckt in einem von Apple als Enterprise Provisioning bezeichneten Verfahren, das es Unternehmen erlaubt, eigene Apps am App Store vorbei direkt auf iOS-Geräten zu installieren. Ein Problem ist laut dem Sicherheitsspezialisten Jonathan Zdziarski, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann.

Apple selbst hält die Gefahr, die von Masque Attack ausgeht, für gering. iOS verfüge über integrierte Schutzfunktionen, die schädliche Downloads verhinderten. Tatsächlich sollten zumindest die Nutzer sicher sein, die Anwendungen ausschließlich über Apples App Store beziehen, da das Unternehmen alle Apps vor der Veröffentlichung überprüft.

Laut Trend Micro ist auch die Datenbank von WhatsApp unter iOS nicht verschlüsselt (Screenshot: Trend Micro).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago