Trend Micro: Masque-Attack-Bug erlaubt Diebstahl unverschlüsselter App-Daten

Der Masque-Attack-Bug, der iOS 7 und 8 betrifft, erlaubt offenbar auch den Diebstahl von Daten beliebiger auf einem iOS-Gerät installierter Apps. Trend Micro hat nach eigenen Angaben eine neue Möglichkeit entdeckt, wie sich die Schwachstelle ausnutzen lässt, um unverschlüsselte Daten anderer legitimer Anwendungen auszuspähen.

Tests mit mehreren Apps hätten gezeigt, dass einige beliebte iOS-Apps ihre Datenbanken nicht verschlüsseln, schreibt Trend Micro in seinem Blog. Das gilt unter anderem für Messaging- und Kommunikationsanwendungen, die in der Regel persönliche Informationen wie Namen und Adressen speichern.

„Bei unserer Analyse haben wir nur Dateibrowser verwendet, um auf die Dateien zuzugreifen“, heißt es weiter in dem Blogeintrag. Einem Screenshot zufolge ist auch WhatsApp von dem Problem betroffen. Unklar ist allerdings, ob die kürzlich von WhatsApp angekündigte Ende-zu-Ende-Verschlüsselung diese Hintertüre schließt und auch die Datenbank der App unter iOS vor unbefugten Zugriffen schützt.

Darüber hinaus hat Trend Micro festgestellt, dass ein Fehler wie der Masque-Attack-Bug unter Android keinen Datendiebstahl in diesem Umfang ermöglichen würde. „Was unsere Entdeckung noch interessanter macht, ist, dass das nicht über die Android-Gegenstücke der Apps gesagt werden kann. Wir haben ermittelt, dass die Android-Versionen dieser Apps verschlüsselt sind. Ein Angreifer müsste sie zuerst entschlüsseln, um auf die Daten zugreifen zu können“, ergänzte Brooks Hong, Mobile Threat Response Engineer bei Trend Micro.

Trend Micro vermutet, dass die Herausgeber der untersuchten Apps unter iOS auf die zusätzliche Verschlüsselung ihrer Datenbanken verzichtet haben, weil der größte Teil der mobilen Schadprogramme auf die Android-Plattform ausgerichtet ist. „Weil es relativ wenige iOS-Bedrohungen gibt, haben die Entwickler vielleicht keine Notwendigkeit für eine Verschlüsselung unter iOS gesehen“, so Hong weiter.

Der Masque-Attack-Bug erlaubt es Hackern unter Umständen, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer muss einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Eine gefälschte App, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann nicht nur deren Funktionen übernehmen, sondern auch auf alle von ihr gespeicherten Daten zugreifen, darunter E-Mails oder auch Log-in-Tokens. Letzteres erlaubt es Hackern, sich direkt bei einem Konto eines Opfers anzumelden.

Der Fehler steckt in einem von Apple als Enterprise Provisioning bezeichneten Verfahren, das es Unternehmen erlaubt, eigene Apps am App Store vorbei direkt auf iOS-Geräten zu installieren. Ein Problem ist laut dem Sicherheitsspezialisten Jonathan Zdziarski, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann.

Apple selbst hält die Gefahr, die von Masque Attack ausgeht, für gering. iOS verfüge über integrierte Schutzfunktionen, die schädliche Downloads verhinderten. Tatsächlich sollten zumindest die Nutzer sicher sein, die Anwendungen ausschließlich über Apples App Store beziehen, da das Unternehmen alle Apps vor der Veröffentlichung überprüft.

Laut Trend Micro ist auch die Datenbank von WhatsApp unter iOS nicht verschlüsselt (Screenshot: Trend Micro).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

4 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

7 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago