Trend Micro: Masque-Attack-Bug erlaubt Diebstahl unverschlüsselter App-Daten

Der Masque-Attack-Bug, der iOS 7 und 8 betrifft, erlaubt offenbar auch den Diebstahl von Daten beliebiger auf einem iOS-Gerät installierter Apps. Trend Micro hat nach eigenen Angaben eine neue Möglichkeit entdeckt, wie sich die Schwachstelle ausnutzen lässt, um unverschlüsselte Daten anderer legitimer Anwendungen auszuspähen.

Tests mit mehreren Apps hätten gezeigt, dass einige beliebte iOS-Apps ihre Datenbanken nicht verschlüsseln, schreibt Trend Micro in seinem Blog. Das gilt unter anderem für Messaging- und Kommunikationsanwendungen, die in der Regel persönliche Informationen wie Namen und Adressen speichern.

„Bei unserer Analyse haben wir nur Dateibrowser verwendet, um auf die Dateien zuzugreifen“, heißt es weiter in dem Blogeintrag. Einem Screenshot zufolge ist auch WhatsApp von dem Problem betroffen. Unklar ist allerdings, ob die kürzlich von WhatsApp angekündigte Ende-zu-Ende-Verschlüsselung diese Hintertüre schließt und auch die Datenbank der App unter iOS vor unbefugten Zugriffen schützt.

Darüber hinaus hat Trend Micro festgestellt, dass ein Fehler wie der Masque-Attack-Bug unter Android keinen Datendiebstahl in diesem Umfang ermöglichen würde. „Was unsere Entdeckung noch interessanter macht, ist, dass das nicht über die Android-Gegenstücke der Apps gesagt werden kann. Wir haben ermittelt, dass die Android-Versionen dieser Apps verschlüsselt sind. Ein Angreifer müsste sie zuerst entschlüsseln, um auf die Daten zugreifen zu können“, ergänzte Brooks Hong, Mobile Threat Response Engineer bei Trend Micro.

Trend Micro vermutet, dass die Herausgeber der untersuchten Apps unter iOS auf die zusätzliche Verschlüsselung ihrer Datenbanken verzichtet haben, weil der größte Teil der mobilen Schadprogramme auf die Android-Plattform ausgerichtet ist. „Weil es relativ wenige iOS-Bedrohungen gibt, haben die Entwickler vielleicht keine Notwendigkeit für eine Verschlüsselung unter iOS gesehen“, so Hong weiter.

Der Masque-Attack-Bug erlaubt es Hackern unter Umständen, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer muss einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Eine gefälschte App, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann nicht nur deren Funktionen übernehmen, sondern auch auf alle von ihr gespeicherten Daten zugreifen, darunter E-Mails oder auch Log-in-Tokens. Letzteres erlaubt es Hackern, sich direkt bei einem Konto eines Opfers anzumelden.

Der Fehler steckt in einem von Apple als Enterprise Provisioning bezeichneten Verfahren, das es Unternehmen erlaubt, eigene Apps am App Store vorbei direkt auf iOS-Geräten zu installieren. Ein Problem ist laut dem Sicherheitsspezialisten Jonathan Zdziarski, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann.

Apple selbst hält die Gefahr, die von Masque Attack ausgeht, für gering. iOS verfüge über integrierte Schutzfunktionen, die schädliche Downloads verhinderten. Tatsächlich sollten zumindest die Nutzer sicher sein, die Anwendungen ausschließlich über Apples App Store beziehen, da das Unternehmen alle Apps vor der Veröffentlichung überprüft.

Laut Trend Micro ist auch die Datenbank von WhatsApp unter iOS nicht verschlüsselt (Screenshot: Trend Micro).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.